Vodnik za namestitev hibridnega sistema Webex za varnost podatkov

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.

OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.

Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

Kaj storiti naprej

Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

(Izbirno) Odpni ISO po konfiguraciji HDS

Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Akcija
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš