Morda boste opazili, da so nekateri članki nedosledni pri prikazu vsebine. Opravičujemo se za nered med posodabljanjem našega spletnega mesta.
cross icon
V tem članku
dropdown icon
Predgovor
    Nove in spremenjene informacije
    dropdown icon
    Začnite s hibridno varnostjo podatkov
      Pregled hibridne varnosti podatkov
        dropdown icon
        Arhitektura varnostnega območja
          Področja ločitve (brez hibridne varnosti podatkov)
        Sodelovanje z drugimi organizacijami
          Pričakovanja pri uvajanju hibridne varnosti podatkov
            Postopek nastavitve na visoki ravni
              dropdown icon
              Hibridni model uvajanja varnosti podatkov
                Hibridni model uvajanja varnosti podatkov
              Poskusni način hibridne varnosti podatkov
                dropdown icon
                Rezervni podatkovni center za obnovitev po nesreči
                  Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči
                Podpora za proxy strežnike
                dropdown icon
                Priprava okolja
                  dropdown icon
                  Zahteve za varnost hibridnih podatkov
                    Zahteve za licenco Cisco Webex
                    Zahteve za namizje Docker
                    Zahteve za potrdilo X.509
                    Zahteve za virtualne gostitelje
                    Zahteve za strežnik zbirke podatkov
                    Zahteve za zunanjo povezljivost
                    Zahteve za proxy strežnik
                  Izpolnite predpogoje za hibridno varnost podatkov
                  dropdown icon
                  Vzpostavitev hibridne gruče za varnost podatkov
                    Potek opravil pri uvajanju hibridne varnosti podatkov
                      Prenos namestitvenih datotek
                        Ustvarjanje konfiguracijskega ISO za gostitelje HDS
                          Namestitev HDS Host OVA
                            Nastavitev hibridnega VM za varnost podatkov
                              Prenos in namestitev konfiguracijskega ISO HDS
                                Konfiguracija vozlišča HDS za integracijo proxy
                                  Registracija prvega vozlišča v gruči
                                    Ustvarjanje in registracija več vozlišč
                                    dropdown icon
                                    Izvedite poskusno različico in jo prenesite v produkcijo
                                      Potek opravil od poskusnega do proizvodnega postopka
                                        Aktivirajte poskusno različico
                                          Preizkusite namestitev hibridne varnosti podatkov
                                            Spremljanje stanja varnosti hibridnih podatkov
                                              Dodajanje ali odstranjevanje uporabnikov iz poskusa
                                                Prehod iz poskusnega v proizvodni proces
                                                  Zaključite poskusno različico brez prehoda v produkcijo
                                                  dropdown icon
                                                  Upravljanje namestitve HDS
                                                    Upravljanje namestitve HDS
                                                      Nastavitev urnika nadgradnje gruče
                                                        Spreminjanje konfiguracije vozlišča
                                                          Izklopite način blokiranega zunanjega DNS razreševanja
                                                            Odstranitev vozlišča
                                                              Obnovitev po nesreči z uporabo rezervnega podatkovnega centra
                                                                (Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS
                                                                dropdown icon
                                                                Odpravljanje težav z varnostjo hibridnih podatkov
                                                                  Oglejte si opozorila in odpravite težave
                                                                    dropdown icon
                                                                    Opozorila
                                                                      Najpogostejše težave in koraki za njihovo reševanje
                                                                    Odpravljanje težav z varnostjo hibridnih podatkov
                                                                    dropdown icon
                                                                    Druge opombe
                                                                      Znane težave pri hibridni varnosti podatkov
                                                                        Uporaba OpenSSL za generiranje datoteke PKCS12
                                                                          Promet med vozlišči HDS in oblakom
                                                                            dropdown icon
                                                                            Konfiguracija proxyjev Squid za hibridno varnost podatkov
                                                                              Websocket se ne more povezati prek posredniškega strežnika Squid
                                                                          V tem članku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Predgovor
                                                                            Nove in spremenjene informacije
                                                                            dropdown icon
                                                                            Začnite s hibridno varnostjo podatkov
                                                                              Pregled hibridne varnosti podatkov
                                                                                dropdown icon
                                                                                Arhitektura varnostnega območja
                                                                                  Področja ločitve (brez hibridne varnosti podatkov)
                                                                                Sodelovanje z drugimi organizacijami
                                                                                  Pričakovanja pri uvajanju hibridne varnosti podatkov
                                                                                    Postopek nastavitve na visoki ravni
                                                                                      dropdown icon
                                                                                      Hibridni model uvajanja varnosti podatkov
                                                                                        Hibridni model uvajanja varnosti podatkov
                                                                                      Poskusni način hibridne varnosti podatkov
                                                                                        dropdown icon
                                                                                        Rezervni podatkovni center za obnovitev po nesreči
                                                                                          Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči
                                                                                        Podpora za proxy strežnike
                                                                                        dropdown icon
                                                                                        Priprava okolja
                                                                                          dropdown icon
                                                                                          Zahteve za varnost hibridnih podatkov
                                                                                            Zahteve za licenco Cisco Webex
                                                                                            Zahteve za namizje Docker
                                                                                            Zahteve za potrdilo X.509
                                                                                            Zahteve za virtualne gostitelje
                                                                                            Zahteve za strežnik zbirke podatkov
                                                                                            Zahteve za zunanjo povezljivost
                                                                                            Zahteve za proxy strežnik
                                                                                          Izpolnite predpogoje za hibridno varnost podatkov
                                                                                          dropdown icon
                                                                                          Vzpostavitev hibridne gruče za varnost podatkov
                                                                                            Potek opravil pri uvajanju hibridne varnosti podatkov
                                                                                              Prenos namestitvenih datotek
                                                                                                Ustvarjanje konfiguracijskega ISO za gostitelje HDS
                                                                                                  Namestitev HDS Host OVA
                                                                                                    Nastavitev hibridnega VM za varnost podatkov
                                                                                                      Prenos in namestitev konfiguracijskega ISO HDS
                                                                                                        Konfiguracija vozlišča HDS za integracijo proxy
                                                                                                          Registracija prvega vozlišča v gruči
                                                                                                            Ustvarjanje in registracija več vozlišč
                                                                                                            dropdown icon
                                                                                                            Izvedite poskusno različico in jo prenesite v produkcijo
                                                                                                              Potek opravil od poskusnega do proizvodnega postopka
                                                                                                                Aktivirajte poskusno različico
                                                                                                                  Preizkusite namestitev hibridne varnosti podatkov
                                                                                                                    Spremljanje stanja varnosti hibridnih podatkov
                                                                                                                      Dodajanje ali odstranjevanje uporabnikov iz poskusa
                                                                                                                        Prehod iz poskusnega v proizvodni proces
                                                                                                                          Zaključite poskusno različico brez prehoda v produkcijo
                                                                                                                          dropdown icon
                                                                                                                          Upravljanje namestitve HDS
                                                                                                                            Upravljanje namestitve HDS
                                                                                                                              Nastavitev urnika nadgradnje gruče
                                                                                                                                Spreminjanje konfiguracije vozlišča
                                                                                                                                  Izklopite način blokiranega zunanjega DNS razreševanja
                                                                                                                                    Odstranitev vozlišča
                                                                                                                                      Obnovitev po nesreči z uporabo rezervnega podatkovnega centra
                                                                                                                                        (Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Odpravljanje težav z varnostjo hibridnih podatkov
                                                                                                                                          Oglejte si opozorila in odpravite težave
                                                                                                                                            dropdown icon
                                                                                                                                            Opozorila
                                                                                                                                              Najpogostejše težave in koraki za njihovo reševanje
                                                                                                                                            Odpravljanje težav z varnostjo hibridnih podatkov
                                                                                                                                            dropdown icon
                                                                                                                                            Druge opombe
                                                                                                                                              Znane težave pri hibridni varnosti podatkov
                                                                                                                                                Uporaba OpenSSL za generiranje datoteke PKCS12
                                                                                                                                                  Promet med vozlišči HDS in oblakom
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfiguracija proxyjev Squid za hibridno varnost podatkov
                                                                                                                                                      Websocket se ne more povezati prek posredniškega strežnika Squid
                                                                                                                                                  Vodnik za namestitev hibridnega sistema Webex za varnost podatkov
                                                                                                                                                  list-menuV tem članku
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  6. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  14. avgust 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  5. avgust 2020

                                                                                                                                                  Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

                                                                                                                                                  16. junij 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

                                                                                                                                                  4. junij 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20. februar 2020Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.
                                                                                                                                                  4. februar 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

                                                                                                                                                  Ustrezno posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

                                                                                                                                                  29. avgust 2019Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.
                                                                                                                                                  20. avgust 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

                                                                                                                                                  13. junij 2019Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security zdaj podpira Microsoft SQL Server kot bazo podatkov. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v Hybrid Data Security. Dodana vsebina, povezana z uvajanjem s strežnikom SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. julij 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Razjasnjena sinhronizacija imenika za HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  18. avgust 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled varnosti hibridnih podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Realms of Separation (brez Hybrid Data Security)

                                                                                                                                                  Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.

                                                                                                                                                  Pričakovanja glede uvajanja hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

                                                                                                                                                  Za uvedbo Hybrid Data Security morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

                                                                                                                                                  • Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.

                                                                                                                                                    Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno gručo na organizacijo.

                                                                                                                                                  Preizkusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.

                                                                                                                                                  Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.

                                                                                                                                                  Podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop v podatkovni center v pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

                                                                                                                                                  • Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:

                                                                                                                                                      • HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo, če izberete HTTPS kot posredniški protokol.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                  Primer vozlišč hibridne varnosti podatkov in posrednika

                                                                                                                                                  Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.

                                                                                                                                                  Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Če želite uvesti Hybrid Data Security:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Certifikacijska veriga mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal zaupanja vreden overitelj potrdil (CA)

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security

                                                                                                                                                  • Ni potrdilo z nadomestnimi znaki

                                                                                                                                                  Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

                                                                                                                                                  Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) nameščen in deluje.


                                                                                                                                                     

                                                                                                                                                    Če imate starejšo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik baze podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in deluje.

                                                                                                                                                  • Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

                                                                                                                                                    Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz App

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna varnostna vozlišča podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  URL-ji gostitelja skupne identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

                                                                                                                                                    • Transparent proxy—Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.

                                                                                                                                                  • Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:

                                                                                                                                                    • Ni avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovna avtentikacija s HTTP ali HTTPS

                                                                                                                                                    • Pregled pristnosti samo s HTTPS

                                                                                                                                                  • Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.

                                                                                                                                                  • Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za svojo uvedbo HDS (npr. hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Certifikacijska veriga mora izpolnjevati zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji.

                                                                                                                                                  1. Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime baze podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja operativne uvedbe povzročila NENADODLJIVA IZGUBA te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij.

                                                                                                                                                  Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. The HdsTrialGroup objekt mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski objekt, ga izberite v povezovalniku imenika Konfiguracija > Izbira predmeta meni. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Ko izbirate pilotne uporabnike, upoštevajte, da če se odločite trajno deaktivirati uvedbo Hybrid Data Security, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko uporabniške aplikacije osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Nastavite Hybrid Data Security Cluster

                                                                                                                                                  Potek opravila uvajanja hibridne varnosti podatkov

                                                                                                                                                  Preden začneš

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:

                                                                                                                                                    • Poverilnice baze podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe politike avtorizacije

                                                                                                                                                  • Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja za nastavitev kliknite Začeti.

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz strani, imate te možnosti:

                                                                                                                                                  • št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  • Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

                                                                                                                                                  1. Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

                                                                                                                                                    Če se odločite Microsoft SQL Server, dobite polje Authentication Type.

                                                                                                                                                  2. (Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:

                                                                                                                                                    • Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite Ime baze podatkov.

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite a Način povezave z bazo podatkov TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za baze podatkov SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

                                                                                                                                                  Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite virtualni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite mapa > Namestite predlogo OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

                                                                                                                                                  4

                                                                                                                                                  Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

                                                                                                                                                  5

                                                                                                                                                  Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naslednji.

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

                                                                                                                                                  8

                                                                                                                                                  Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
                                                                                                                                                  • Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.
                                                                                                                                                  • Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek.

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo:

                                                                                                                                                  1. Vpiši se: admin

                                                                                                                                                  2. geslo: cisco

                                                                                                                                                  Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko.

                                                                                                                                                  Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.

                                                                                                                                                  3. Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.

                                                                                                                                                  5. V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.

                                                                                                                                                  6. Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezan in Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite virtualni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začneš

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo za strežnike proxy HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.

                                                                                                                                                  5

                                                                                                                                                  Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM.

                                                                                                                                                  Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nadaljuj v opozorilnem sporočilu.

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri.

                                                                                                                                                    Prikaže se stran z viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                    Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdite na Node.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo

                                                                                                                                                  Potek naloge od poskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup predmet skupine.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  6

                                                                                                                                                  Dokončajte preskusno fazo z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Preden začneš

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Začni preizkus.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, HdsTrialGroup.)

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Nastavite svojo uvedbo Hybrid Data Security.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve.

                                                                                                                                                  Prikaže se stran z nastavitvami hibridne varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

                                                                                                                                                  Premaknite se s preskusne različice na produkcijsko

                                                                                                                                                  Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Premakni se v proizvodnjo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preizkus, ne da bi se preselili v proizvodnjo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

                                                                                                                                                  Upravljajte svojo namestitev HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

                                                                                                                                                  Nastavite urnik nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Nadzorno središče.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za varnost hibridnih podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

                                                                                                                                                  Spremenite konfiguracijo vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev— Stara gesla prenehajo delovati takoj.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s proxyjem HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

                                                                                                                                                    Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

                                                                                                                                                  1. Namestite HDS host OVA.

                                                                                                                                                  2. Nastavite HDS VM.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite virtualni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite virtualni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

                                                                                                                                                  Izklopite način razreševanja blokiranega zunanjega DNS-ja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.

                                                                                                                                                  3

                                                                                                                                                  Pojdi na Trust Store & Proxy strani.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

                                                                                                                                                  Odstranite vozlišče

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.

                                                                                                                                                  3. Izberite svojo gručo, da prikažete njeno pregledno ploščo.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > Odjavi vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

                                                                                                                                                  Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

                                                                                                                                                  (Izbirno) Odpni ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Zaustavite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V strežniški napravi vCenter izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo rešitev

                                                                                                                                                  Opozorilo

                                                                                                                                                  Akcija

                                                                                                                                                  Napaka pri dostopu do lokalne baze podatkov.

                                                                                                                                                  Preverite napake baze podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka povezave z lokalno bazo podatkov.

                                                                                                                                                  Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je padla.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se zapira.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s potrdilom strežnika.

                                                                                                                                                  Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebiten potek poverilnic storitvenega računa.

                                                                                                                                                  Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.

                                                                                                                                                  Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začneš

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvari zasebni ključ.

                                                                                                                                                  • Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti potrdila strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Odhodni promet zbiranja meritev

                                                                                                                                                  Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Dohodni promet

                                                                                                                                                  Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfigurirajte posrednike Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek proxyja Squid

                                                                                                                                                  Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  6. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  14. avgust 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  5. avgust 2020

                                                                                                                                                  Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

                                                                                                                                                  16. junij 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

                                                                                                                                                  4. junij 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20. februar 2020Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.
                                                                                                                                                  4. februar 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

                                                                                                                                                  Ustrezno posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

                                                                                                                                                  29. avgust 2019Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.
                                                                                                                                                  20. avgust 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

                                                                                                                                                  13. junij 2019Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security zdaj podpira Microsoft SQL Server kot bazo podatkov. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v Hybrid Data Security. Dodana vsebina, povezana z uvajanjem s strežnikom SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. julij 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Razjasnjena sinhronizacija imenika za HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  18. avgust 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled varnosti hibridnih podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Realms of Separation (brez Hybrid Data Security)

                                                                                                                                                  Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.

                                                                                                                                                  Pričakovanja glede uvajanja hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

                                                                                                                                                  Za uvedbo Hybrid Data Security morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

                                                                                                                                                  • Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.

                                                                                                                                                    Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno gručo na organizacijo.

                                                                                                                                                  Preizkusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.

                                                                                                                                                  Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.

                                                                                                                                                  Podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop v podatkovni center v pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

                                                                                                                                                  • Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:

                                                                                                                                                      • HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo, če izberete HTTPS kot posredniški protokol.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                  Primer vozlišč hibridne varnosti podatkov in posrednika

                                                                                                                                                  Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.

                                                                                                                                                  Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Če želite uvesti Hybrid Data Security:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Certifikacijska veriga mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal zaupanja vreden overitelj potrdil (CA)

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security

                                                                                                                                                  • Ni potrdilo z nadomestnimi znaki

                                                                                                                                                  Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

                                                                                                                                                  Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) nameščen in deluje.


                                                                                                                                                     

                                                                                                                                                    Če imate starejšo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik baze podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in deluje.

                                                                                                                                                  • Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

                                                                                                                                                    Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz App

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna varnostna vozlišča podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  URL-ji gostitelja skupne identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

                                                                                                                                                    • Transparent proxy—Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.

                                                                                                                                                  • Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:

                                                                                                                                                    • Ni avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovna avtentikacija s HTTP ali HTTPS

                                                                                                                                                    • Pregled pristnosti samo s HTTPS

                                                                                                                                                  • Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.

                                                                                                                                                  • Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za svojo uvedbo HDS (npr. hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Certifikacijska veriga mora izpolnjevati zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji.

                                                                                                                                                  1. Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime baze podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja operativne uvedbe povzročila NENADODLJIVA IZGUBA te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij.

                                                                                                                                                  Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. The HdsTrialGroup objekt mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski objekt, ga izberite v povezovalniku imenika Konfiguracija > Izbira predmeta meni. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Ko izbirate pilotne uporabnike, upoštevajte, da če se odločite trajno deaktivirati uvedbo Hybrid Data Security, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko uporabniške aplikacije osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Nastavite Hybrid Data Security Cluster

                                                                                                                                                  Potek opravila uvajanja hibridne varnosti podatkov

                                                                                                                                                  Preden začneš

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:

                                                                                                                                                    • Poverilnice baze podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe politike avtorizacije

                                                                                                                                                  • Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja za nastavitev kliknite Začeti.

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz strani, imate te možnosti:

                                                                                                                                                  • št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  • Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

                                                                                                                                                  1. Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

                                                                                                                                                    Če se odločite Microsoft SQL Server, dobite polje Authentication Type.

                                                                                                                                                  2. (Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:

                                                                                                                                                    • Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite Ime baze podatkov.

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite a Način povezave z bazo podatkov TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za baze podatkov SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

                                                                                                                                                  Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite virtualni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite mapa > Namestite predlogo OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

                                                                                                                                                  4

                                                                                                                                                  Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

                                                                                                                                                  5

                                                                                                                                                  Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naslednji.

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

                                                                                                                                                  8

                                                                                                                                                  Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
                                                                                                                                                  • Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.
                                                                                                                                                  • Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek.

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo:

                                                                                                                                                  1. Vpiši se: admin

                                                                                                                                                  2. geslo: cisco

                                                                                                                                                  Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko.

                                                                                                                                                  Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.

                                                                                                                                                  3. Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.

                                                                                                                                                  5. V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.

                                                                                                                                                  6. Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezan in Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite virtualni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začneš

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo za strežnike proxy HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.

                                                                                                                                                  5

                                                                                                                                                  Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM.

                                                                                                                                                  Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nadaljuj v opozorilnem sporočilu.

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri.

                                                                                                                                                    Prikaže se stran z viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                    Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdite na Node.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo

                                                                                                                                                  Potek naloge od poskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup predmet skupine.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  6

                                                                                                                                                  Dokončajte preskusno fazo z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Preden začneš

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Začni preizkus.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, HdsTrialGroup.)

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Nastavite svojo uvedbo Hybrid Data Security.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve.

                                                                                                                                                  Prikaže se stran z nastavitvami hibridne varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

                                                                                                                                                  Premaknite se s preskusne različice na produkcijsko

                                                                                                                                                  Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Premakni se v proizvodnjo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preizkus, ne da bi se preselili v proizvodnjo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

                                                                                                                                                  Upravljajte svojo namestitev HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

                                                                                                                                                  Nastavite urnik nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Nadzorno središče.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za varnost hibridnih podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

                                                                                                                                                  Spremenite konfiguracijo vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev— Stara gesla prenehajo delovati takoj.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s proxyjem HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

                                                                                                                                                    Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

                                                                                                                                                  1. Namestite HDS host OVA.

                                                                                                                                                  2. Nastavite HDS VM.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite virtualni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite virtualni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

                                                                                                                                                  Izklopite način razreševanja blokiranega zunanjega DNS-ja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.

                                                                                                                                                  3

                                                                                                                                                  Pojdi na Trust Store & Proxy strani.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

                                                                                                                                                  Odstranite vozlišče

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.

                                                                                                                                                  3. Izberite svojo gručo, da prikažete njeno pregledno ploščo.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > Odjavi vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

                                                                                                                                                  Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

                                                                                                                                                  (Izbirno) Odpni ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Zaustavite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V strežniški napravi vCenter izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo rešitev

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Napaka pri dostopu do lokalne baze podatkov.

                                                                                                                                                  Preverite napake baze podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka povezave z lokalno bazo podatkov.

                                                                                                                                                  Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je padla.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se zapira.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s potrdilom strežnika.

                                                                                                                                                  Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebiten potek poverilnic storitvenega računa.

                                                                                                                                                  Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.

                                                                                                                                                  Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začneš

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvari zasebni ključ.

                                                                                                                                                  • Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti potrdila strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Odhodni promet zbiranja meritev

                                                                                                                                                  Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Dohodni promet

                                                                                                                                                  Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfigurirajte posrednike Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek proxyja Squid

                                                                                                                                                  Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  6. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  14. avgust 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  5. avgust 2020

                                                                                                                                                  Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

                                                                                                                                                  16. junij 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

                                                                                                                                                  4. junij 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20. februar 2020Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.
                                                                                                                                                  4. februar 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

                                                                                                                                                  Ustrezno posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

                                                                                                                                                  29. avgust 2019Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.
                                                                                                                                                  20. avgust 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

                                                                                                                                                  13. junij 2019Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security zdaj podpira Microsoft SQL Server kot bazo podatkov. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v Hybrid Data Security. Dodana vsebina, povezana z uvajanjem s strežnikom SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. julij 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Razjasnjena sinhronizacija imenika za HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  18. avgust 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled varnosti hibridnih podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Realms of Separation (brez Hybrid Data Security)

                                                                                                                                                  Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.

                                                                                                                                                  Pričakovanja glede uvajanja hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

                                                                                                                                                  Za uvedbo Hybrid Data Security morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

                                                                                                                                                  • Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.

                                                                                                                                                    Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno gručo na organizacijo.

                                                                                                                                                  Preizkusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.

                                                                                                                                                  Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.

                                                                                                                                                  Podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop v podatkovni center v pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

                                                                                                                                                  • Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:

                                                                                                                                                      • HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo, če izberete HTTPS kot posredniški protokol.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                  Primer vozlišč hibridne varnosti podatkov in posrednika

                                                                                                                                                  Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.

                                                                                                                                                  Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Če želite uvesti Hybrid Data Security:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Certifikacijska veriga mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal zaupanja vreden overitelj potrdil (CA)

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security

                                                                                                                                                  • Ni potrdilo z nadomestnimi znaki

                                                                                                                                                  Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

                                                                                                                                                  Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) nameščen in deluje.


                                                                                                                                                     

                                                                                                                                                    Če imate starejšo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik baze podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in deluje.

                                                                                                                                                  • Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

                                                                                                                                                    Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz App

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna varnostna vozlišča podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  URL-ji gostitelja skupne identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

                                                                                                                                                    • Transparent proxy—Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.

                                                                                                                                                  • Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:

                                                                                                                                                    • Ni avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovna avtentikacija s HTTP ali HTTPS

                                                                                                                                                    • Pregled pristnosti samo s HTTPS

                                                                                                                                                  • Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.

                                                                                                                                                  • Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za svojo uvedbo HDS (npr. hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Certifikacijska veriga mora izpolnjevati zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji.

                                                                                                                                                  1. Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime baze podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja operativne uvedbe povzročila NENADODLJIVA IZGUBA te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij.

                                                                                                                                                  Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. The HdsTrialGroup objekt mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski objekt, ga izberite v povezovalniku imenika Konfiguracija > Izbira predmeta meni. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Ko izbirate pilotne uporabnike, upoštevajte, da če se odločite trajno deaktivirati uvedbo Hybrid Data Security, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko uporabniške aplikacije osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Nastavite Hybrid Data Security Cluster

                                                                                                                                                  Potek opravila uvajanja hibridne varnosti podatkov

                                                                                                                                                  Preden začneš

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:

                                                                                                                                                    • Poverilnice baze podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe politike avtorizacije

                                                                                                                                                  • Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja za nastavitev kliknite Začeti.

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz strani, imate te možnosti:

                                                                                                                                                  • št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  • Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

                                                                                                                                                  1. Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

                                                                                                                                                    Če se odločite Microsoft SQL Server, dobite polje Authentication Type.

                                                                                                                                                  2. (Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:

                                                                                                                                                    • Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite Ime baze podatkov.

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite a Način povezave z bazo podatkov TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za baze podatkov SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

                                                                                                                                                  Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite virtualni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite mapa > Namestite predlogo OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

                                                                                                                                                  4

                                                                                                                                                  Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

                                                                                                                                                  5

                                                                                                                                                  Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naslednji.

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

                                                                                                                                                  8

                                                                                                                                                  Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
                                                                                                                                                  • Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.
                                                                                                                                                  • Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek.

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo:

                                                                                                                                                  1. Vpiši se: admin

                                                                                                                                                  2. geslo: cisco

                                                                                                                                                  Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko.

                                                                                                                                                  Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.

                                                                                                                                                  3. Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.

                                                                                                                                                  5. V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.

                                                                                                                                                  6. Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezan in Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite virtualni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začneš

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo za strežnike proxy HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.

                                                                                                                                                  5

                                                                                                                                                  Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM.

                                                                                                                                                  Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nadaljuj v opozorilnem sporočilu.

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri.

                                                                                                                                                    Prikaže se stran z viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                    Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdite na Node.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo

                                                                                                                                                  Potek naloge od poskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup predmet skupine.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  6

                                                                                                                                                  Dokončajte preskusno fazo z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Preden začneš

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Začni preizkus.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, HdsTrialGroup.)

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Nastavite svojo uvedbo Hybrid Data Security.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve.

                                                                                                                                                  Prikaže se stran z nastavitvami hibridne varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

                                                                                                                                                  Premaknite se s preskusne različice na produkcijsko

                                                                                                                                                  Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Premakni se v proizvodnjo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preizkus, ne da bi se preselili v proizvodnjo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

                                                                                                                                                  Upravljajte svojo namestitev HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

                                                                                                                                                  Nastavite urnik nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Nadzorno središče.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za varnost hibridnih podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

                                                                                                                                                  Spremenite konfiguracijo vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev— Stara gesla prenehajo delovati takoj.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s proxyjem HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

                                                                                                                                                    Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

                                                                                                                                                  1. Namestite HDS host OVA.

                                                                                                                                                  2. Nastavite HDS VM.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite virtualni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite virtualni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

                                                                                                                                                  Izklopite način razreševanja blokiranega zunanjega DNS-ja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.

                                                                                                                                                  3

                                                                                                                                                  Pojdi na Trust Store & Proxy strani.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

                                                                                                                                                  Odstranite vozlišče

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.

                                                                                                                                                  3. Izberite svojo gručo, da prikažete njeno pregledno ploščo.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > Odjavi vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

                                                                                                                                                  Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

                                                                                                                                                  (Izbirno) Odpni ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Zaustavite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V strežniški napravi vCenter izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo rešitev

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Napaka pri dostopu do lokalne baze podatkov.

                                                                                                                                                  Preverite napake baze podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka povezave z lokalno bazo podatkov.

                                                                                                                                                  Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je padla.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se zapira.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s potrdilom strežnika.

                                                                                                                                                  Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebiten potek poverilnic storitvenega računa.

                                                                                                                                                  Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.

                                                                                                                                                  Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začneš

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvari zasebni ključ.

                                                                                                                                                  • Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti potrdila strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Odhodni promet zbiranja meritev

                                                                                                                                                  Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Dohodni promet

                                                                                                                                                  Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfigurirajte posrednike Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek proxyja Squid

                                                                                                                                                  Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  6. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  14. avgust 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  5. avgust 2020

                                                                                                                                                  Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

                                                                                                                                                  16. junij 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

                                                                                                                                                  4. junij 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20. februar 2020Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.
                                                                                                                                                  4. februar 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

                                                                                                                                                  Ustrezno posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

                                                                                                                                                  29. avgust 2019Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.
                                                                                                                                                  20. avgust 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

                                                                                                                                                  13. junij 2019Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security zdaj podpira Microsoft SQL Server kot bazo podatkov. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v Hybrid Data Security. Dodana vsebina, povezana z uvajanjem s strežnikom SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. julij 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Razjasnjena sinhronizacija imenika za HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  18. avgust 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled varnosti hibridnih podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Realms of Separation (brez Hybrid Data Security)

                                                                                                                                                  Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.

                                                                                                                                                  Pričakovanja glede uvajanja hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

                                                                                                                                                  Za uvedbo Hybrid Data Security morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

                                                                                                                                                  • Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.

                                                                                                                                                    Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno gručo na organizacijo.

                                                                                                                                                  Preizkusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.

                                                                                                                                                  Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.

                                                                                                                                                  Podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop v podatkovni center v pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

                                                                                                                                                  • Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:

                                                                                                                                                      • HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo, če izberete HTTPS kot posredniški protokol.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                  Primer vozlišč hibridne varnosti podatkov in posrednika

                                                                                                                                                  Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.

                                                                                                                                                  Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Če želite uvesti Hybrid Data Security:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Certifikacijska veriga mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal zaupanja vreden overitelj potrdil (CA)

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security

                                                                                                                                                  • Ni potrdilo z nadomestnimi znaki

                                                                                                                                                  Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

                                                                                                                                                  Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) nameščen in deluje.


                                                                                                                                                     

                                                                                                                                                    Če imate starejšo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik baze podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in deluje.

                                                                                                                                                  • Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

                                                                                                                                                    Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz App

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna varnostna vozlišča podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  URL-ji gostitelja skupne identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

                                                                                                                                                    • Transparent proxy—Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.

                                                                                                                                                  • Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:

                                                                                                                                                    • Ni avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovna avtentikacija s HTTP ali HTTPS

                                                                                                                                                    • Pregled pristnosti samo s HTTPS

                                                                                                                                                  • Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.

                                                                                                                                                  • Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za svojo uvedbo HDS (npr. hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Certifikacijska veriga mora izpolnjevati zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji.

                                                                                                                                                  1. Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime baze podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja operativne uvedbe povzročila NENADODLJIVA IZGUBA te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij.

                                                                                                                                                  Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. The HdsTrialGroup objekt mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski objekt, ga izberite v povezovalniku imenika Konfiguracija > Izbira predmeta meni. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Ko izbirate pilotne uporabnike, upoštevajte, da če se odločite trajno deaktivirati uvedbo Hybrid Data Security, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko uporabniške aplikacije osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Nastavite Hybrid Data Security Cluster

                                                                                                                                                  Potek opravila uvajanja hibridne varnosti podatkov

                                                                                                                                                  Preden začneš

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:

                                                                                                                                                    • Poverilnice baze podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe politike avtorizacije

                                                                                                                                                  • Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja za nastavitev kliknite Začeti.

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz strani, imate te možnosti:

                                                                                                                                                  • št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  • Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

                                                                                                                                                  1. Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

                                                                                                                                                    Če se odločite Microsoft SQL Server, dobite polje Authentication Type.

                                                                                                                                                  2. (Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:

                                                                                                                                                    • Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite Ime baze podatkov.

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite a Način povezave z bazo podatkov TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za baze podatkov SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

                                                                                                                                                  Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite virtualni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite mapa > Namestite predlogo OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

                                                                                                                                                  4

                                                                                                                                                  Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

                                                                                                                                                  5

                                                                                                                                                  Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naslednji.

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

                                                                                                                                                  8

                                                                                                                                                  Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
                                                                                                                                                  • Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.
                                                                                                                                                  • Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek.

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo:

                                                                                                                                                  1. Vpiši se: admin

                                                                                                                                                  2. geslo: cisco

                                                                                                                                                  Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko.

                                                                                                                                                  Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.

                                                                                                                                                  3. Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.

                                                                                                                                                  5. V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.

                                                                                                                                                  6. Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezan in Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite virtualni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začneš

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo za strežnike proxy HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.

                                                                                                                                                  5

                                                                                                                                                  Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM.

                                                                                                                                                  Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nadaljuj v opozorilnem sporočilu.

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri.

                                                                                                                                                    Prikaže se stran z viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                    Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdite na Node.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo

                                                                                                                                                  Potek naloge od poskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup predmet skupine.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  6

                                                                                                                                                  Dokončajte preskusno fazo z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Preden začneš

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Začni preizkus.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, HdsTrialGroup.)

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Nastavite svojo uvedbo Hybrid Data Security.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve.

                                                                                                                                                  Prikaže se stran z nastavitvami hibridne varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

                                                                                                                                                  Premaknite se s preskusne različice na produkcijsko

                                                                                                                                                  Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Premakni se v proizvodnjo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preizkus, ne da bi se preselili v proizvodnjo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

                                                                                                                                                  Upravljajte svojo namestitev HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

                                                                                                                                                  Nastavite urnik nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Nadzorno središče.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za varnost hibridnih podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

                                                                                                                                                  Spremenite konfiguracijo vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev— Stara gesla prenehajo delovati takoj.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s proxyjem HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

                                                                                                                                                    Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

                                                                                                                                                  1. Namestite HDS host OVA.

                                                                                                                                                  2. Nastavite HDS VM.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite virtualni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite virtualni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

                                                                                                                                                  Izklopite način razreševanja blokiranega zunanjega DNS-ja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.

                                                                                                                                                  3

                                                                                                                                                  Pojdi na Trust Store & Proxy strani.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

                                                                                                                                                  Odstranite vozlišče

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.

                                                                                                                                                  3. Izberite svojo gručo, da prikažete njeno pregledno ploščo.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > Odjavi vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

                                                                                                                                                  Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

                                                                                                                                                  (Izbirno) Odpni ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Zaustavite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V strežniški napravi vCenter izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo rešitev

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Napaka pri dostopu do lokalne baze podatkov.

                                                                                                                                                  Preverite napake baze podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka povezave z lokalno bazo podatkov.

                                                                                                                                                  Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je padla.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se zapira.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s potrdilom strežnika.

                                                                                                                                                  Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebiten potek poverilnic storitvenega računa.

                                                                                                                                                  Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.

                                                                                                                                                  Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začneš

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvari zasebni ključ.

                                                                                                                                                  • Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti potrdila strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Odhodni promet zbiranja meritev

                                                                                                                                                  Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Dohodni promet

                                                                                                                                                  Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfigurirajte posrednike Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek proxyja Squid

                                                                                                                                                  Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  6. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  14. avgust 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  5. avgust 2020

                                                                                                                                                  Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

                                                                                                                                                  16. junij 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

                                                                                                                                                  4. junij 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20. februar 2020Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.
                                                                                                                                                  4. februar 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

                                                                                                                                                  Ustrezno posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

                                                                                                                                                  29. avgust 2019Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.
                                                                                                                                                  20. avgust 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

                                                                                                                                                  13. junij 2019Posodobljeno Potek naloge od preizkusa do proizvodnje z opomnikom za sinhronizacijo HdsTrialGroup predmet skupine pred začetkom preizkusa, če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security zdaj podpira Microsoft SQL Server kot bazo podatkov. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v Hybrid Data Security. Dodana vsebina, povezana z uvajanjem s strežnikom SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. julij 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Razjasnjena sinhronizacija imenika za HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  18. avgust 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled varnosti hibridnih podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju Aplikacija Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogoča Aplikacija Webex stranke, ki komunicirajo s storitvijo upravljanja ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih stranke uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse Aplikacija Webex stranke dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem področju. Hybrid Data Security premakne KMS in druge funkcije, povezane z varnostjo, v podatkovni center vašega podjetja, tako da nihče drug kot vi nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Realms of Separation (brez Hybrid Data Security)

                                                                                                                                                  Za nadaljnje razumevanje hibridne varnosti podatkov si najprej oglejmo ta čisti oblak, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oboje je ločeno od področja, kjer je na koncu shranjena šifrirana vsebina. , v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je bila overjena s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, potekajo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete Hybrid Data Security, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v vaš lokalni podatkovni center. Druge storitve v oblaku, ki sestavljajo Webex (vključno s shranjevanjem identitete in vsebine), ostajajo v domeni Cisca.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima druga organizacija ključ za prostor, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ od ustreznega KMS, in nato vrne ključ vašemu uporabniku na izvirnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preverja povezave s KMS-ji v drugih organizacijah z uporabo potrdil x.509 PKI. glej Pripravite svoje okolje za podrobnosti o ustvarjanju potrdila x.509 za uporabo z vašo uvedbo Hybrid Data Security.

                                                                                                                                                  Pričakovanja glede uvajanja hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

                                                                                                                                                  Za uvedbo Hybrid Data Security morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracije ISO, ki jo zgradite za Hybrid Data Security, ali baze podatkov, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom prepreči dešifriranje prostorske vsebine in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko zgradite novo uvedbo, vendar bo vidna samo nova vsebina. Da preprečite izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

                                                                                                                                                  • Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.

                                                                                                                                                    Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Znotraj podatkovnega centra vašega podjetja namestite Hybrid Data Security kot eno samo gručo vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnic in varnega HTTP-ja.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za nastavitev virtualne naprave na VM, ki jih zagotovite. Z orodjem za nastavitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd, ki ste ga zagotovili, in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Syslogd in podrobnosti o povezavi baze podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Če imate več vozlišč, zagotovite, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do iste shrambe ključnih podatkov in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in obravnavajo ključne zahteve na krožni način, po navodilih oblaka.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno gručo na organizacijo.

                                                                                                                                                  Preizkusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo Hybrid Data Security, jo najprej preizkusite z nizom pilotnih uporabnikov. Med preskusnim obdobjem ti uporabniki uporabljajo vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Vaši drugi uporabniki še naprej uporabljajo varnostno področje oblaka.

                                                                                                                                                  Če se med preskusnim obdobjem odločite, da ne boste nadaljevali z uvajanjem in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med preskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste zadovoljni, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti Hybrid Data Security na vse svoje uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili v uporabi med preskusom. Vendar se ne morete premikati naprej in nazaj med produkcijskim načinom in prvotnim preskusom. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se premaknete nazaj v produkcijski način. Ali uporabniki obdržijo dostop do podatkov na tej točki, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v vaši gruči.

                                                                                                                                                  Podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop v podatkovni center v pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo samodejnega preklopa. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Tako so vozlišča podatkovnega centra v pripravljenosti vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve strani dodajte spodnjo konfiguracijo, da postavite vozlišče v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteko ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode konfigurirano lahko pomaga pri hitrem procesu samodejnega preklopa med obnovitvijo po katastrofi. glej Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti za podroben postopek samodejnega preklopa.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

                                                                                                                                                  • Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:

                                                                                                                                                      • HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo, če izberete HTTPS kot posredniški protokol.

                                                                                                                                                        Za vsako vozlišče morate vnesti uporabniško ime in geslo.

                                                                                                                                                  Primer vozlišč hibridne varnosti podatkov in posrednika

                                                                                                                                                  Ta diagram prikazuje primer povezave med Hybrid Data Security, omrežjem in proxyjem. Za možnosti transparentnega pregledovanja in eksplicitnega pregledovanja HTTPS proxy mora biti isto korensko potrdilo nameščeno na proxyju in vozliščih Hybrid Data Security.

                                                                                                                                                  Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Če želite uvesti Hybrid Data Security:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je nedavno posodobil svoj model licenciranja. Vaša organizacija morda zahteva plačljivo naročnino za Docker Desktop. Za podrobnosti si oglejte objavo v spletnem dnevniku Docker, " Docker posodablja in podaljšuje naše naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Certifikacijska veriga mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal zaupanja vreden overitelj potrdil (CA)

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security

                                                                                                                                                  • Ni potrdilo z nadomestnimi znaki

                                                                                                                                                  Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

                                                                                                                                                  Programska oprema KMS ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, na primer preverjanje pristnosti strežnika. V redu je, če uporabite avtentikacijo strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) nameščen in deluje.


                                                                                                                                                     

                                                                                                                                                    Če imate starejšo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik baze podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in deluje.

                                                                                                                                                  • Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno je 2 TB, če želite bazo podatkov izvajati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

                                                                                                                                                    Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz App

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna varnostna vozlišča podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave do ciljev domene v prejšnji tabeli. Za povezave, ki potekajo vhodno do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V vašem podatkovnem centru odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za administrativne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  URL-ji gostitelja skupne identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

                                                                                                                                                    • Transparent proxy—Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy—Squid.


                                                                                                                                                       

                                                                                                                                                      Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte Konfigurirajte posrednike Squid za hibridno varnost podatkov.

                                                                                                                                                  • Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:

                                                                                                                                                    • Ni avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovna avtentikacija s HTTP ali HTTPS

                                                                                                                                                    • Pregled pristnosti samo s HTTPS

                                                                                                                                                  • Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.

                                                                                                                                                  • Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za Pro Pack za Cisco Webex Control Hub in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na svojega Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za svojo uvedbo HDS (npr. hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Certifikacijska veriga mora izpolnjevati zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči. Potrebujete vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v Zahteve za virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik baze podatkov, ki bo deloval kot shramba ključnih podatkov za gručo, v skladu z Zahteve za strežnik baze podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z virtualnimi gostitelji.

                                                                                                                                                  1. Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime baze podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite varnostno okolje v drugem podatkovnem centru. Okolje za varnostno kopiranje zrcali produkcijsko okolje navideznih strojev in strežnik baze podatkov za varnostno kopiranje. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik baze podatkov in gostitelja sistemskega dnevnika. Če želite preprečiti nepopravljivo izgubo podatkov, morate najmanj varnostno kopirati bazo podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja operativne uvedbe povzročila NENADODLJIVA IZGUBA te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex shranjujejo svoje ključe v predpomnilnik, zato izpad morda ne bo takoj opazen, vendar bo sčasoma očiten. Čeprav je začasnih izpadov nemogoče preprečiti, jih je mogoče obnoviti. Vendar bo popolna izguba (razpoložljivih varnostnih kopij) baze podatkov ali konfiguracijske datoteke ISO povzročila nepopravljivost podatkov o strankah. Od operaterjev vozlišč Hybrid Data Security se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter da bodo pripravljeni na ponovno izgradnjo podatkovnega centra Hybrid Data Security, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) na katerem koli lokalnem računalniku s podprtim OS (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Primerek Docker uporabite za prenos in zagon orodja za nastavitev HDS, ki gradi lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija morda potrebuje licenco Docker Desktop. glej Zahteve za namizje Docker za več informacij.

                                                                                                                                                  Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. The HdsTrialGroup objekt mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski objekt, ga izberite v povezovalniku imenika Konfiguracija > Izbira predmeta meni. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Ko izbirate pilotne uporabnike, upoštevajte, da če se odločite trajno deaktivirati uvedbo Hybrid Data Security, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko uporabniške aplikacije osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Nastavite Hybrid Data Security Cluster

                                                                                                                                                  Potek opravila uvajanja hibridne varnosti podatkov

                                                                                                                                                  Preden začneš

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenesite namestitvene datoteke

                                                                                                                                                  Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarite konfiguracijski ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:

                                                                                                                                                    • Poverilnice baze podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe politike avtorizacije

                                                                                                                                                  • Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja za nastavitev kliknite Začeti.

                                                                                                                                                  9

                                                                                                                                                  Na ISO uvoz strani, imate te možnosti:

                                                                                                                                                  • št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

                                                                                                                                                  • Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

                                                                                                                                                  1. Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

                                                                                                                                                    Če se odločite Microsoft SQL Server, dobite polje Authentication Type.

                                                                                                                                                  2. (Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:

                                                                                                                                                    • Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite Ime baze podatkov.

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite a Način povezave z bazo podatkov TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za baze podatkov SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.

                                                                                                                                                  3. Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

                                                                                                                                                  Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestite HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite virtualni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite mapa > Namestite predlogo OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

                                                                                                                                                  4

                                                                                                                                                  Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

                                                                                                                                                  5

                                                                                                                                                  Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naslednji.

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

                                                                                                                                                  8

                                                                                                                                                  Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
                                                                                                                                                  • Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.
                                                                                                                                                  • Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

                                                                                                                                                  Nastavite Hybrid Data Security VM

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek.

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo:

                                                                                                                                                  1. Vpiši se: admin

                                                                                                                                                  2. geslo: cisco

                                                                                                                                                  Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko.

                                                                                                                                                  Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite ISO konfiguracije HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.

                                                                                                                                                  3. Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.

                                                                                                                                                  5. V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.

                                                                                                                                                  6. Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezan in Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite virtualni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

                                                                                                                                                  Konfigurirajte vozlišče HDS za integracijo posrednika

                                                                                                                                                  Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začneš

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.

                                                                                                                                                    2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.

                                                                                                                                                    3. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik.

                                                                                                                                                    4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:

                                                                                                                                                      • Noben— Nadaljnje preverjanje pristnosti ni potrebno.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.

                                                                                                                                                        Na voljo samo za strežnike proxy HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.

                                                                                                                                                  5

                                                                                                                                                  Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

                                                                                                                                                  Registrirajte prvo vozlišče v gruči

                                                                                                                                                  Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM.

                                                                                                                                                  Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdite na Node.

                                                                                                                                                  8

                                                                                                                                                  Kliknite Nadaljuj v opozorilnem sporočilu.

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarite in registrirajte več vozlišč

                                                                                                                                                  Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri.

                                                                                                                                                    Prikaže se stran z viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji.

                                                                                                                                                    Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdite na Node.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite preizkus in se premaknite v produkcijo

                                                                                                                                                  Potek naloge od poskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup predmet skupine.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  6

                                                                                                                                                  Dokončajte preskusno fazo z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviraj preizkus

                                                                                                                                                  Preden začneš

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Začni preizkus.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, HdsTrialGroup.)

                                                                                                                                                  Preizkusite svojo hibridno uvedbo varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Nastavite svojo uvedbo Hybrid Data Security.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljajte varnost hibridnih podatkov

                                                                                                                                                  Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve.

                                                                                                                                                  Prikaže se stran z nastavitvami hibridne varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

                                                                                                                                                  Dodajte ali odstranite uporabnike iz svojega preizkusa

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

                                                                                                                                                  Premaknite se s preskusne različice na produkcijsko

                                                                                                                                                  Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Premakni se v proizvodnjo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preizkus, ne da bi se preselili v proizvodnjo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

                                                                                                                                                  Upravljajte svojo namestitev HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

                                                                                                                                                  Nastavite urnik nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Nadzorno središče.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za varnost hibridnih podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

                                                                                                                                                  Spremenite konfiguracijo vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev— Stara gesla prenehajo delovati takoj.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

                                                                                                                                                  Preden začneš

                                                                                                                                                  • Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy brez avtentikacije

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy z avtentikacijo

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Za vpis v register slik Docker vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ob pozivu za geslo vnesite to zgoščeno vrednost:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s proxyjem HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

                                                                                                                                                    Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

                                                                                                                                                  1. Namestite HDS host OVA.

                                                                                                                                                  2. Nastavite HDS VM.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite virtualni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Priključite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite virtualni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

                                                                                                                                                  Izklopite način razreševanja blokiranega zunanjega DNS-ja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdi do Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.

                                                                                                                                                  3

                                                                                                                                                  Pojdi na Trust Store & Proxy strani.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

                                                                                                                                                  Odstranite vozlišče

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.

                                                                                                                                                  3. Izberite svojo gručo, da prikažete njeno pregledno ploščo.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > Odjavi vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

                                                                                                                                                  Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu. Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

                                                                                                                                                  (Izbirno) Odpni ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

                                                                                                                                                  Preden začneš

                                                                                                                                                  Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Zaustavite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V strežniški napravi vCenter izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo rešitev

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Napaka pri dostopu do lokalne baze podatkov.

                                                                                                                                                  Preverite napake baze podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka povezave z lokalno bazo podatkov.

                                                                                                                                                  Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je padla.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se zapira.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s potrdilom strežnika.

                                                                                                                                                  Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebiten potek poverilnic storitvenega računa.

                                                                                                                                                  Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.

                                                                                                                                                  Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začneš

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvari zasebni ključ.

                                                                                                                                                  • Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti potrdila strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Odhodni promet zbiranja meritev

                                                                                                                                                  Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Dohodni promet

                                                                                                                                                  Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfigurirajte posrednike Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek proxyja Squid

                                                                                                                                                  Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktiva za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvedene spremembe

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. avgust 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  december 06, 2022

                                                                                                                                                  november 23, 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Preden lahko namestite vozlišča HDS, mora namizje Docker Desktop zagnati namestitveni program. Glejte Zahteve za namizje Docker.

                                                                                                                                                  24. junij 2021

                                                                                                                                                  Upoštevajte, da lahko datoteko z zasebnim ključem in CSR ponovno uporabite za zahtevo za drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za generiranje datoteke PKCS12 .

                                                                                                                                                  30. april 2021

                                                                                                                                                  Zahtevo VM za prostor na lokalnem trdem disku spremenite na 30 GB. Za podrobnosti glejte Zahteve za virtualne gostitelje .

                                                                                                                                                  24. februar 2021

                                                                                                                                                  Orodje za namestitev HDS se zdaj lahko zažene za posredniškim strežnikom. Za podrobnosti glejte Create a Configuration ISO for the HDS Hosts .

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS lahko zdaj zaženete brez nameščene datoteke ISO. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Dodane informacije o orodju za nastavitev HDS in posrednikih na naslov Ustvarite konfiguracijski ISO za gostitelje HDS.

                                                                                                                                                  oktober 13, 2020

                                                                                                                                                  Posodobljeno Prenesite namestitvene datoteke.

                                                                                                                                                  oktober 8, 2020

                                                                                                                                                  Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  avgust 14, 2020

                                                                                                                                                  Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča s spremembami postopka prijave.

                                                                                                                                                  avgust 5, 2020

                                                                                                                                                  Posodobljeno Test Your Hybrid Data Security Deployment za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljeno Zahteve za virtualne gostitelje za odstranitev največjega števila gostiteljev.

                                                                                                                                                  junij 16, 2020

                                                                                                                                                  Posodobljeno Odstranitev vozlišča za spremembe v uporabniškem vmesniku nadzornega vozlišča.

                                                                                                                                                  junij 4, 2020

                                                                                                                                                  Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

                                                                                                                                                  maj 29, 2020

                                                                                                                                                  Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za prikaz, da lahko TLS uporabljate tudi s podatkovnimi bazami strežnika SQL Server, spremembe uporabniškega vmesnika in druga pojasnila.

                                                                                                                                                  maj 5, 2020

                                                                                                                                                  Posodobljeno Zahteve za virtualne gostitelje za prikaz novih zahtev ESXi 6.5.

                                                                                                                                                  april 21, 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji Americas CI.

                                                                                                                                                  april 1, 2020

                                                                                                                                                  Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  februar 20, 2020Posodobljeno Create a Configuration ISO for the HDS Hosts z informacijami o novem izbirnem zaslonu Advanced Settings v orodju HDS Setup Tool.
                                                                                                                                                  februar 4, 2020Posodobljeno Zahteve za strežnik proxy.
                                                                                                                                                  16. december 2019Pojasnjena zahteva za delovanje načina blokirane zunanje resolucije DNS v Zahteve za strežnik proxy.
                                                                                                                                                  november 19, 2019

                                                                                                                                                  V naslednjih razdelkih so dodane informacije o načinu blokirane zunanje resolucije DNS:

                                                                                                                                                  november 8, 2019

                                                                                                                                                  Zdaj lahko omrežne nastavitve za vozlišče konfigurirate med nameščanjem OVA in ne šele pozneje.

                                                                                                                                                  Ustrezno posodobite naslednje oddelke:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Dodan SQL Server Standard v Zahteve za strežnik podatkovne zbirke.

                                                                                                                                                  avgust 29, 2019Dodan dodatek Configure Squid Proxyies for Hybrid Data Security z navodili za konfiguracijo Squid proxyjev, da za pravilno delovanje ignorirajo promet spletnih vtičnic.
                                                                                                                                                  avgust 20, 2019

                                                                                                                                                  Dodani in posodobljeni razdelki, ki zajemajo podporo posrednika za komunikacijo vozlišča Hybrid Data Security z oblakom Webex.

                                                                                                                                                  Če želite dostopati samo do vsebine podpore za posrednike za obstoječo namestitev, si oglejte članek pomoči Proxy Support for Hybrid Data Security and Webex Video Mesh .

                                                                                                                                                  13. junij 2019Posodobljen Potek opravil od poskusnega do produkcijskega sistema z opomnikom, da je treba pred začetkom poskusnega delovanja sinhronizirati objekt skupine HdsTrialGroup , če vaša organizacija uporablja sinhronizacijo imenikov.
                                                                                                                                                  6. marec 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Popravljena je količina prostora na lokalnem trdem disku na strežnik, ki jo morate rezervirati pri pripravi navideznih gostiteljev, ki postanejo vozlišča hibridne varnosti podatkov, s 50 GB na 20 GB, da se upošteva velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Vozlišča hibridne varnosti podatkov zdaj podpirajo šifrirane povezave s strežniki zbirke podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Iz preglednice "Zahteve glede internetne povezljivosti za virtualne stroje hibridnih vozlišč za varnost podatkov" odstranite ciljne naslove URL. Tabela se zdaj sklicuje na seznam, ki je shranjen v tabeli "Dodatni naslovi URL za hibridne storitve Webex Teams" v Omrežne zahteve za storitve Webex Teams.

                                                                                                                                                  januar 24, 2019

                                                                                                                                                  • Hibridna varnost podatkov zdaj podpira Microsoft SQL Server kot podatkovno zbirko. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) je podprt z gonilniki JDBC, ki se uporabljajo v sistemu Hybrid Data Security. Dodana vsebina, povezana z nameščanjem s strežnikom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim namestitvam hibridnega varovanja podatkov. Trenutno ne podpiramo migracije podatkov iz PostgreSQLa v Microsoft SQL Server v obstoječi namestitvi.

                                                                                                                                                  5. november 2018
                                                                                                                                                  oktober 19, 2018

                                                                                                                                                  julij 31, 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža novo blagovno znamko Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Oblak Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  april 11, 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  februar 15, 2018
                                                                                                                                                  • V preglednici Zahteve za potrdilo X.509 določite, da potrdilo ne sme biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN in ne katere koli domene, ki je opredeljena v poljih x.509v3 SAN.

                                                                                                                                                  januar 18, 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Pojasnjena je bila sinhronizacija imenika skupine HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za prenos konfiguracijske datoteke ISO za namestitev v vozlišča VM.

                                                                                                                                                  avgust 18, 2017

                                                                                                                                                  Prva objava

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled hibridne varnosti podatkov

                                                                                                                                                  Pri oblikovanju aplikacije Webex je bila varnost podatkov od prvega dne v ospredju. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex v interakciji s storitvijo za upravljanje ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto je vsem strankam aplikacije Webex App na voljo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem območju. Hibridno varovanje podatkov prenese sistem KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da ključe za šifrirano vsebino nima nihče razen vas.

                                                                                                                                                  Arhitektura varnostnega območja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Področja ločitve (brez hibridne varnosti podatkov)

                                                                                                                                                  Da bi bolje razumeli hibridno varnost podatkov, si najprej oglejmo primer čistega oblaka, v katerem Cisco zagotavlja vse funkcije v svojem oblaku. Identitetna storitev, edino mesto, kjer je mogoče uporabnike neposredno povezati z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem središču B. Oboje pa je ločeno od področja, kjer je šifrirana vsebina shranjena, in sicer v podatkovnem središču C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki teče v uporabnikovem prenosnem računalniku in se je avtentificirala s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Pri uvajanju hibridnega varovanja podatkov prenesete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v lokalno podatkovno središče. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovem dometu.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš sistem KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Če pa je ključ za prostor v lasti druge organizacije, vaša KMS posreduje zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ iz ustrezne KMS, nato pa ključ vrne uporabniku prek prvotnega kanala.

                                                                                                                                                  Storitev KMS, ki teče v organizaciji Org A, potrjuje povezave s KMS v drugih organizacijah z uporabo potrdil x.509 PKI. Podrobnosti o ustvarjanju potrdila x.509, ki ga boste uporabili pri uvajanju hibridne zaščite podatkov, najdete na spletnem mestu Prepare Your Environment (Priprava okolja) .

                                                                                                                                                  Pričakovanja pri uvajanju hibridne varnosti podatkov

                                                                                                                                                  Za uvedbo hibridne varnosti podatkov sta potrebna velika zavezanost stranke in zavedanje tveganj, ki jih prinaša lastništvo šifrirnih ključev.

                                                                                                                                                  Če želite namestiti hibridno varovanje podatkov, morate zagotoviti:

                                                                                                                                                  Popolna izguba konfiguracijskega ISO, ki ga sestavite za Hybrid Data Security, ali podatkovne zbirke, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo namestitev, vendar bo vidna le nova vsebina. Če želite preprečiti izgubo dostopa do podatkov, morate:

                                                                                                                                                  • Upravljanje varnostnega kopiranja in obnovitve podatkovne zbirke ter konfiguracije ISO.

                                                                                                                                                  • Bodite pripravljeni na hitro obnovitev v primeru katastrofe, kot je odpoved diska podatkovne zbirke ali nesreča podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Po namestitvi HDS ni mehanizma za prenos ključev nazaj v oblak.

                                                                                                                                                  Postopek nastavitve na visoki ravni

                                                                                                                                                  Ta dokument obravnava nastavitev in upravljanje hibridne namestitve varovanja podatkov:

                                                                                                                                                  • Nastavitev Hybrid Data Security- To vključuje pripravo potrebne infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje namestitve s podskupino uporabnikov v poskusnem načinu in po končanem testiranju prehod v produkcijo. Tako celotna organizacija za varnostne funkcije uporablja vašo gručo Hybrid Data Security.

                                                                                                                                                    Faze namestitve, preskušanja in proizvodnje so podrobno opisane v naslednjih treh poglavjih.

                                                                                                                                                  • Vzdrževanje uvedbe hibridne varnosti podatkov- Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek IT lahko zagotovi prvo stopnjo podpore za to namestitev in po potrebi pritegne Ciscovo podporo. V vozlišču Control Hub lahko uporabljate obvestila na zaslonu in nastavite opozorila prek e-pošte.

                                                                                                                                                  • Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav-Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  V podatkovnem središču podjetja namestite hibridno varovanje podatkov kot eno samo gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnikov in varnega protokola HTTP.

                                                                                                                                                  Med postopkom namestitve vam zagotovimo datoteko OVA za namestitev virtualne naprave na virtualne računalnike, ki jih zagotovite. Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO po meri gruče, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd in podatkovno zbirko PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in podatkovne baze konfigurirate v orodju HDS Setup Tool.)

                                                                                                                                                  Hibridni model uvajanja varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč v gruči sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi v vozlišču. (Oblak Webex nadgradi le eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do istega podatkovnega skladišča ključev in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in po navodilih oblaka krožno obdelujejo zahtevke za ključe.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v vozlišču Control Hub. Posamezno vozlišče lahko odjavite iz uporabe in ga pozneje po potrebi ponovno registrirate.

                                                                                                                                                  Podpiramo le eno gručo na organizacijo.

                                                                                                                                                  Poskusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite namestitev hibridne varnosti podatkov, jo najprej preizkusite z nizom pilotnih uporabnikov. V poskusnem obdobju ti uporabniki uporabljajo lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Drugi uporabniki še naprej uporabljajo varnostno območje v oblaku.

                                                                                                                                                  Če se odločite, da med poskusnim obdobjem ne boste nadaljevali z uvajanjem, in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med poskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex se bo prikazalo sporočilo "This message cannot be decrypted" (Tega sporočila ni mogoče dešifrirati).

                                                                                                                                                  Če ste prepričani, da namestitev dobro deluje za poskusne uporabnike, in ste pripravljeni razširiti hibridno varovanje podatkov na vse uporabnike, prenesite namestitev v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so jih uporabljali med poskusnim delom. Vendar se ne morete premikati med produkcijskim načinom in prvotnim poskusnim delom. Če morate deaktivirati storitev, na primer zaradi obnovitve po nesreči, morate ob ponovni aktivaciji začeti novo poskusno različico in nastaviti nabor pilotnih uporabnikov za novo poskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v gruči.

                                                                                                                                                  Rezervni podatkovni center za obnovitev po nesreči

                                                                                                                                                  Med uvajanjem vzpostavite varen rezervni podatkovni center. V primeru okvare podatkovnega centra lahko namestitev ročno prenesete v rezervni podatkovni center.

                                                                                                                                                  Podatkovni center A ima pred prevzemom v okvari aktivna vozlišča HDS in primarno zbirko podatkov PostgreSQL ali Microsoft SQL Server, podatkovni center B pa ima kopijo datoteke ISO z dodatnimi konfiguracijami, virtualne stroje, ki so registrirani v organizaciji, in rezervno zbirko podatkov. Po prevzemu podatkovnega središča B so aktivna vozlišča HDS in primarna zbirka podatkov, medtem ko so v podatkovnem središču A neregistrirani virtualni stroji in kopija datoteke ISO, zbirka podatkov pa je v načinu pripravljenosti.
                                                                                                                                                  Ročni preklop na rezervno podatkovno središče

                                                                                                                                                  Podatkovne zbirke aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar skrajša čas, potreben za izvedbo preklopa. Datoteka ISO rezervnega podatkovnega središča je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne obdelujejo prometa. Zato so vozlišča rezervnega podatkovnega centra vedno posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik podatkovne zbirke.

                                                                                                                                                  Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči

                                                                                                                                                  Po spodnjih korakih konfigurirajte datoteko ISO rezervnega podatkovnega središča:

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Rezervni podatkovni center mora biti zrcalno podoben produkcijskemu okolju virtualnih strojev in rezervni podatkovni bazi PostgreSQL ali Microsoft SQL Server. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. (Za pregled tega modela prehoda v sili glejte Rezervni podatkovni center za obnovitev po nesreči .)

                                                                                                                                                  • Prepričajte se, da je omogočena sinhronizacija zbirke podatkov med zbirko podatkov aktivnega in pasivnega vozlišča gruče.

                                                                                                                                                  1

                                                                                                                                                  Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija originalne datoteke ISO primarnega podatkovnega centra, na kateri bodo izvedene naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings.

                                                                                                                                                  3

                                                                                                                                                  Na strani Advanced Settings dodajte spodnjo konfiguracijo, da vozlišče preklopite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo izvajalo nobenega prometa.

                                                                                                                                                   pasivni način: 'true' 

                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

                                                                                                                                                  9

                                                                                                                                                  Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.


                                                                                                                                                   

                                                                                                                                                  V dnevnikih syslog preverite, ali so vozlišča v pasivnem načinu. V dnevniku syslogs bi moralo biti prikazano sporočilo "KMS konfiguriran v pasivnem načinu".

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ko v datoteki ISO konfigurirate passiveMode in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez konfiguracije passiveMode in jo shranite na varno mesto. Ta kopija datoteke ISO brez konfiguriranega passiveMode lahko pomaga pri hitrem postopku preklopa na drugo napravo med obnovitvijo po nesreči. Za podroben postopek preklopa v primeru odpovedi glejte Disaster Recovery using Standby Data Center .

                                                                                                                                                  Podpora za proxy strežnike

                                                                                                                                                  Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.

                                                                                                                                                  Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:

                                                                                                                                                  • No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.

                                                                                                                                                  • Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.

                                                                                                                                                  • Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo overjanja naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:

                                                                                                                                                    1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.

                                                                                                                                                    2. Proxy Port-številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.

                                                                                                                                                    3. Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:

                                                                                                                                                      • HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.

                                                                                                                                                      • HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.

                                                                                                                                                    4. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:

                                                                                                                                                      • Ni-Ne zahteva se nobeno dodatno preverjanje pristnosti.

                                                                                                                                                        Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.

                                                                                                                                                      • Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.

                                                                                                                                                        Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.

                                                                                                                                                      • Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.

                                                                                                                                                        Na voljo samo, če kot protokol posredniškega strežnika izberete HTTPS.

                                                                                                                                                        Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.

                                                                                                                                                  Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika

                                                                                                                                                  Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.

                                                                                                                                                  Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posredniškega strežnika.

                                                                                                                                                  Priprava okolja

                                                                                                                                                  Zahteve za varnost hibridnih podatkov

                                                                                                                                                  Zahteve za licenco Cisco Webex

                                                                                                                                                  Uvajanje hibridne varnosti podatkov:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, morate na namizju Docker Desktop zagnati namestitveni program. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za program Docker Desktop. Za podrobnosti glejte objavo na Dockerjevem blogu " Docker posodablja in razširja naročnine na izdelke".

                                                                                                                                                  Zahteve za potrdilo X.509

                                                                                                                                                  Veriga potrdil mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvajanje hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal ga je zaupanja vreden organ za izdajo potrdil (CA).

                                                                                                                                                  Privzeto zaupamo CA s seznama Mozilla (razen WoSign in StartCom) na naslovu https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • nosi ime domene Common Name (CN), ki identificira vašo namestitev hibridnega varovanja podatkov.

                                                                                                                                                  • Ni nadomestno potrdilo

                                                                                                                                                  Ni treba, da je CN dosegljiv ali da je gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer hds.company.com.

                                                                                                                                                  CN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v gruči uporabljajo isto potrdilo. Vaša KMS se identificira z domeno CN in ne s katero koli domeno, ki je opredeljena v poljih x.509v3 SAN.

                                                                                                                                                  Ko enkrat registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki lahko velja tako za poskusno kot za produkcijsko namestitev.

                                                                                                                                                  • Podpis, ki ni podpis SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij.

                                                                                                                                                  • oblikovan kot datoteka PKCS #12, zaščitena z geslom.

                                                                                                                                                  • Uporabite prijazno ime kms-private-key , da označite potrdilo, zasebni ključ in vsa vmesna potrdila, ki jih želite naložiti.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Geslo boste morali vnesti, ko boste zagnali orodje za nastavitev HDS.

                                                                                                                                                  Programska oprema KMS ne uveljavlja omejitev uporabe ključa ali razširjene uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, kot je na primer preverjanje pristnosti strežnika. Lahko uporabite preverjanje pristnosti strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualne gostitelje

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo naslednje zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (priporočljivo 3), nameščena v istem varnem podatkovnem centru.

                                                                                                                                                  • Nameščen in zagnan sistem VMware ESXi 6.5 (ali novejši).


                                                                                                                                                     

                                                                                                                                                    Če imate prejšnjo različico ESXi, morate nadgraditi.

                                                                                                                                                  • Najmanj 4 vCPU, 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik zbirke podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.

                                                                                                                                                  Za strežnik zbirke podatkov sta na voljo dve možnosti. Zahteve za vsako od njih so naslednje:

                                                                                                                                                  Preglednica 2. Zahteve za strežnik podatkovne zbirke glede na vrsto podatkovne zbirke

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in zagnan.

                                                                                                                                                  • nameščen strežnik SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo.

                                                                                                                                                  Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika).

                                                                                                                                                  Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika).

                                                                                                                                                  Programska oprema HDS trenutno za komunikacijo s strežnikom podatkovne zbirke namesti naslednje različice gonilnikov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Always On availability groups).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo avtentikacijo Windows za dostop do podatkovne zbirke shrambe ključev v strežniku Microsoft SQL Server, morate v svojem okolju uporabiti naslednjo konfiguracijo:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in strežnik MS SQL Server morajo biti sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop do podatkovne zbirke za branje in pisanje.

                                                                                                                                                  • Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti center za distribucijo ključev (KDC).

                                                                                                                                                  • Primer podatkovne zbirke HDS v strežniku Microsoft SQL Server lahko registrirate kot Service Principal Name (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezave Kerberos.

                                                                                                                                                    Orodje za namestitev HDS, zaganjalnik HDS in lokalna KMS morajo za dostop do podatkovne zbirke shrambe ključev uporabljati avtentikacijo Windows. Pri zahtevi za dostop s preverjanjem pristnosti Kerberos uporabijo podrobnosti iz vaše konfiguracije ISO za sestavo SPN.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Požarni zid konfigurirajte tako, da aplikacijam HDS omogočite naslednje povezave:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Pristanišče

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Destinacija

                                                                                                                                                  Hibridna vozlišča za varnost podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi naslovi URL, ki so za hibridno varnost podatkov navedeni v preglednici Dodatni naslovi URL za hibridne storitve Webex . Omrežne zahteve za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogočata zahtevane izhodne povezave do domenskih destinacij iz prejšnje preglednice. Pri povezavah, ki prihajajo v vozlišča Hybrid Data Security, ne smejo biti iz interneta vidna nobena vrata. Odjemalci v podatkovnem središču potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za upravne namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  Skupni naslovi URL gostitelja identitete

                                                                                                                                                  Americas

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za proxy strežnik

                                                                                                                                                  • Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varovanje podatkov.

                                                                                                                                                    • Transparentni proxy-Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Izrecni proxy-Squid.


                                                                                                                                                       

                                                                                                                                                      Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.

                                                                                                                                                  • Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:

                                                                                                                                                    • Brez avtentikacije s HTTP ali HTTPS

                                                                                                                                                    • Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS

                                                                                                                                                    • Preverjanje pristnosti Digest samo s protokolom HTTPS

                                                                                                                                                  • Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.

                                                                                                                                                  • Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih wbx2.com in ciscospark.com .

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo gruče Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je v organizaciji Webex omogočen paket Pro Pack za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi pravicami skrbnika organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali skrbnika računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za namestitev HDS (na primer hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Veriga potrdil mora izpolnjevati zahteve iz X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočamo 3), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik podatkovne zbirke, ki bo deloval kot ključna podatkovna shramba za gručo, v skladu z zahtevami strežnika podatkovne zbirke .. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču skupaj z navideznimi gostitelji.

                                                                                                                                                  1. Ustvarite zbirko podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti - ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.)

                                                                                                                                                  2. Zberite podatke, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom zbirke podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • ime zbirke podatkov (dbname) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi privilegiji v podatkovni bazi za shranjevanje ključev.

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po nesreči vzpostavite rezervno okolje v drugem podatkovnem središču. Varnostno okolje odraža produkcijsko okolje z virtualnimi napravami in strežnikom za varnostno kopijo podatkovne zbirke. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja syslog za zbiranje dnevniških zapisov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sysloga (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti izgubo podatkov, ki je ni mogoče obnoviti, morate izdelati vsaj varnostno kopijo podatkovne zbirke in konfiguracijske datoteke ISO, ustvarjene za vozlišča Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Ker se v vozliščih hibridnega varovanja podatkov hranijo ključi, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja delujoče namestitve povzročila NEODSTRANJIVO IZGUBO te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex imajo ključe v predpomnilniku, zato izpad morda ne bo takoj opazen, vendar se bo pokazal čez čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče odpraviti. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) podatkovne zbirke ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ni mogoče obnoviti. Od upravljavcev vozlišč hibridne varnosti podatkov se pričakuje, da pogosto vzdržujejo varnostne kopije podatkovne zbirke in konfiguracijske datoteke ISO ter so pripravljeni na obnovo podatkovnega centra hibridne varnosti podatkov, če pride do katastrofalne okvare.

                                                                                                                                                  8

                                                                                                                                                  Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridnega varovanja podatkov, kot je opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki omogoča dostop do njega na http://127.0.0.1:8080.

                                                                                                                                                  Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki ustvari lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija bo morda potrebovala licenco Docker Desktop. Za več informacij glejte Zahteve za namizje Docker .

                                                                                                                                                  Za namestitev in zagon orodja za namestitev HDS mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če povezujete posredniški strežnik s sistemom Hybrid Data Security, se prepričajte, da izpolnjuje zahteve strežnika Proxy Server Requirements.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, v imeniku Active Directory ustvarite skupino z imenom HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. Objekt HdsTrialGroup je treba sinhronizirati z oblakom, preden lahko začnete poskusno obdobje za svojo organizacijo. Če želite sinhronizirati objekt skupine, ga izberite v meniju Configuration > Object Selection programa Directory Connector. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Ključe za določen prostor določi njegov ustvarjalec. Pri izbiri pilotnih uporabnikov upoštevajte, da če se odločite za trajno deaktiviranje hibridne namestitve varovanja podatkov, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba je vidna takoj, ko aplikacije uporabnikov osvežijo svoje predpomnilniške kopije vsebine.

                                                                                                                                                  Vzpostavitev hibridne gruče za varnost podatkov

                                                                                                                                                  Potek opravil pri uvajanju hibridne varnosti podatkov

                                                                                                                                                  Preden začnete

                                                                                                                                                  Priprava okolja

                                                                                                                                                  1

                                                                                                                                                  Prenos namestitvenih datotek

                                                                                                                                                  Datoteko OVA prenesite v lokalni računalnik za poznejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarjanje konfiguracijskega ISO za gostitelje HDS

                                                                                                                                                  Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestitev HDS Host OVA

                                                                                                                                                  Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavitev hibridnega VM za varnost podatkov

                                                                                                                                                  Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.

                                                                                                                                                  5

                                                                                                                                                  Prenos in namestitev konfiguracijskega ISO HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Konfiguracija vozlišča HDS za integracijo proxy

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo posrednika, določite vrsto posrednika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posrednika v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registracija prvega vozlišča v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot vozlišče hibridne varnosti podatkov.

                                                                                                                                                  8

                                                                                                                                                  Ustvarjanje in registracija več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Poskusno izvajanje in prehod na produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenos namestitvenih datotek

                                                                                                                                                  V tem opravilu prenesete datoteko OVA v svoj računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v spletno mesto https://admin.webex.com in nato kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridne storitve poiščite kartico Hybrid Data Security in kliknite Set up.

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na svojo ekipo za račune ali partnersko organizacijo. Navedite številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz razdelka Pomoč na strani Nastavitve . Na kartici Hibridna varnost podatkov kliknite Uredi nastavitve , da se odpre stran. Nato v razdelku Pomoč kliknite Prenesi programsko opremo Hybrid Data Security .


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite No , da označite, da vozlišča še niste nastavili, in kliknite Next.

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Open Deployment Guide in preverite, ali je na voljo novejša različica tega vodnika.

                                                                                                                                                  Ustvarjanje konfiguracijskega ISO za gostitelje HDS

                                                                                                                                                  Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    Proxy strežnik HTTP brez avtentikacije

                                                                                                                                                    GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS brez avtentikacije

                                                                                                                                                    GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy strežnik HTTP z avtentikacijo

                                                                                                                                                    GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS z avtentikacijo

                                                                                                                                                    GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:

                                                                                                                                                    • Pooblastila zbirke podatkov

                                                                                                                                                    • Posodobitve certifikata

                                                                                                                                                    • Spremembe pravilnika o avtorizaciji

                                                                                                                                                  • Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Če se želite prijaviti v register slik Docker, vnesite naslednje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na poziv za geslo vnesite to geslo:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za svoje okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:

                                                                                                                                                  • V običajnih okoljih brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s posredniškim strežnikom HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s posrednikom HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez posrednika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s posrednikom HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s posrednikom HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  S spletnim brskalnikom pojdite na lokalni gostitelj, http://127.0.0.1:8080, in na poziv vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

                                                                                                                                                  7

                                                                                                                                                  Ko se prikaže poziv, vnesite svoje prijavne podatke skrbnika stranke Control Hub in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na strani s pregledom orodja Setup Tool kliknite Get Started.

                                                                                                                                                  9

                                                                                                                                                  Na strani ISO Import so na voljo naslednje možnosti:

                                                                                                                                                  • Ni- Če ustvarjate prvo vozlišče HDS, nimate datoteke ISO, ki bi jo lahko prenesli.
                                                                                                                                                  • Da- Če ste že ustvarili vozlišča HDS, v brskalniku izberite datoteko ISO in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz X.509 Certificate Requirements.

                                                                                                                                                  • Če potrdila še niste prenesli, prenesite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite No za Continue using HDS certificate chain and private key from previous ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov podatkovne zbirke in račun za dostop do ključnega podatkovnega skladišča HDS:

                                                                                                                                                  1. Izberite Vrsta podatkovne zbirke (PostgreSQL ali Microsoft SQL Server).

                                                                                                                                                    Če izberete Microsoft SQL Server, dobite polje Vrsta preverjanja pristnosti.

                                                                                                                                                  2. (Samo za Microsoft SQL Server ) Izberite Vrsto preverjanja pristnosti:

                                                                                                                                                    • Osnovno preverjanje pristnosti: V polju Uporabniško ime morate navesti ime lokalnega računa strežnika SQL Server.

                                                                                                                                                    • Preverjanje pristnosti sistema Windows: V polju Uporabniško ime potrebujete račun Windows v obliki uporabniško ime@DOMENA .

                                                                                                                                                  3. Vnesite naslov strežnika zbirke podatkov v obliki : ali :.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Za osnovno preverjanje pristnosti lahko uporabite naslov IP, če vozlišča za razrešitev imena gostitelja ne morejo uporabiti DNS.

                                                                                                                                                    Če uporabljate avtentikacijo Windows, morate vnesti popolnoma kvalificirano domensko ime v obliki dbhost.example.org:1433

                                                                                                                                                  4. Vnesite ime podatkovne zbirke .

                                                                                                                                                  5. Vnesite Uporabniško ime in Geslo uporabnika z vsemi pravicami v podatkovni zbirki za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite način povezave s podatkovno bazo TLS:

                                                                                                                                                  Način

                                                                                                                                                  Opis

                                                                                                                                                  Raje TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS za povezavo s strežnikom zbirke podatkov ne potrebujejo protokola TLS. Če v strežniku zbirke podatkov omogočite TLS, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahteva TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.

                                                                                                                                                  Zahtevajte TLS in preverite podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ni uporaben za podatkovne zbirke strežnika SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdilu zbirke podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  Za prenos korenskega potrdila za to možnost uporabite kontrolnik Korensko potrdilo podatkovne zbirke pod spustnim seznamom.

                                                                                                                                                  Zahtevajte TLS ter preverite podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdilu zbirke podatkov. Če se ne ujemata, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v polju Database host and port . Imena se morajo popolnoma ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Za prenos korenskega potrdila za to možnost uporabite kontrolnik Korensko potrdilo podatkovne zbirke pod spustnim seznamom.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje HDS Setup Tool preizkusi povezavo TLS s strežnikom podatkovne zbirke. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če test ni uspešen, orodje prikaže sporočilo o napaki z opisom težave. Odločite se lahko, ali boste napako prezrli in nadaljevali z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, čeprav je naprava HDS Setup Tool ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite naslov URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče rešiti z DNS iz vozlišč gruče HDS, v naslovu URL uporabite naslov IP.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vrata UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili tako, da uporablja šifriranje TLS, preverite Is your syslog server configred for SSL encryption?.

                                                                                                                                                    Če potrdite to potrditveno polje, vnesite naslov URL TCP, na primer tcp://10.92.43.23:514.

                                                                                                                                                  3. V spustnem polju Choose syslog record termination izberite ustrezno nastavitev za svojo datoteko ISO: Izberite ali Nova vrstica se uporablja za Graylog in Rsyslog TCP

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n-To možnost izberite za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Neobvezno) Privzeto vrednost nekaterih parametrov povezave s podatkovno bazo lahko spremenite v razdelku Dodatne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxVelikost: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na zaslonu Ponastavitev gesla za storitvene račune .

                                                                                                                                                  Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko geslom poteče veljavnost ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenos datoteke ISO. Datoteko shranite na mesto, ki ga boste zlahka našli.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje Setup, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ustvarite varnostno kopijo konfiguracijske datoteke ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz podatkovne zbirke PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestitev HDS Host OVA

                                                                                                                                                  S tem postopkom ustvarite navidezni stroj iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite Datoteka > Namestitev predloge OVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite lokacijo datoteke OVA, ki ste jo prenesli prej, in kliknite Next.

                                                                                                                                                  4

                                                                                                                                                  Na strani Select a name and folder vnesite Virtual machine name za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer se lahko nahaja namestitev vozlišča virtualnega stroja, in nato kliknite Next.

                                                                                                                                                  5

                                                                                                                                                  Na strani Select a compute resource izberite ciljni računski vir in kliknite Next.

                                                                                                                                                  Izvede se preverjanje veljavnosti. Ko se zaključi, se prikažejo podrobnosti o predlogi.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Next.

                                                                                                                                                  7

                                                                                                                                                  Če morate na strani Configuration izbrati konfiguracijo virov, kliknite 4 CPU in nato kliknite Next.

                                                                                                                                                  8

                                                                                                                                                  Na strani Select storage kliknite Next , da sprejmete privzeto obliko diska in politiko shranjevanja VM.

                                                                                                                                                  9

                                                                                                                                                  Na strani Izberite omrežja s seznama vnosov izberite možnost omrežja, ki zagotavlja želeno povezljivost z VM.

                                                                                                                                                  10

                                                                                                                                                  Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:

                                                                                                                                                  • Ime gostitelja- Vnesite FQDN (ime gostitelja in domene) ali eno besedo gostiteljskega imena vozlišča.

                                                                                                                                                     
                                                                                                                                                    • Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Če želite zagotoviti uspešno registracijo v oblak, v imenu FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče, uporabljajte samo male črke. Kapitalizacija trenutno ni podprta.

                                                                                                                                                    • Skupna dolžina imena FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • Naslov IP- Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Mask-Vnesite naslov maske podomrežja v decimalni obliki. Na primer 255.255.255.255.0.
                                                                                                                                                  • Gateway-Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • Strežniki DNS-Vnesite z vejico ločen seznam strežnikov DNS, ki skrbijo za prevajanje domenskih imen v številčne naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • Strežniki NTP-Vnesite strežnik NTP svoje organizacije ali drug zunanji strežnik NTP, ki se lahko uporablja v vaši organizaciji. Privzeti strežniki NTP morda ne bodo ustrezali vsem podjetjem. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejico.
                                                                                                                                                  • Vsa vozlišča namestite v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva iz odjemalcev v omrežju za upravne namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in za konfiguracijo nastavitev iz konzole vozlišča sledite korakom v razdelku Set up the Hybrid Data Security VM .


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno tipko miške kliknite vozlišče VM in izberite Power > Power On.

                                                                                                                                                  Programska oprema Hybrid Data Security je nameščena kot gost v gostitelju VM. Zdaj se lahko prijavite v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Preden se zabojniki vozlišča prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom, med katerim se ne morete prijaviti, se na konzoli prikaže sporočilo o požarnem zidu mostu.

                                                                                                                                                  Nastavitev hibridnega VM za varnost podatkov

                                                                                                                                                  S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. V konzoli lahko tudi konfigurirate omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in zavihek Console .

                                                                                                                                                  VM se zažene in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Za prijavo in spremembo poverilnic uporabite naslednje privzeto uporabniško ime in geslo:

                                                                                                                                                  1. Prijava: admin

                                                                                                                                                  2. Geslo: cisco

                                                                                                                                                  Ker se prvič prijavljate v svoj virtualni stroj, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste omrežne nastavitve že konfigurirali v razdelku Namestitev HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Edit Configuration .

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(-e) NTP, da bo ustrezal vaši politiki omrežja.

                                                                                                                                                  Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite omrežno konfiguracijo in ponovno zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Prenos in namestitev konfiguracijskega ISO HDS

                                                                                                                                                  Ta postopek uporabite za konfiguracijo navideznega stroja iz datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Ker je v datoteki ISO shranjen glavni ključ, mora biti izpostavljen le na podlagi "potrebe po seznanitvi", in sicer za dostop hibridnih virtualnih strojev za varnost podatkov in vseh skrbnikov, ki bi morda morali uvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.

                                                                                                                                                  1

                                                                                                                                                  Datoteko ISO prenesite iz računalnika:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu strojne opreme v zavihku Konfiguracija kliknite Storage.

                                                                                                                                                  3. Na seznamu podatkovnih skladišč desno kliknite podatkovno skladišče za svoje virtualne stroje in kliknite Browse Datastore.

                                                                                                                                                  4. Kliknite ikono Prenos datotek in nato kliknite Prenos datotek.

                                                                                                                                                  5. Poiščite mesto, kamor ste prenesli datoteko ISO v računalnik, in kliknite Open.

                                                                                                                                                  6. Kliknite Yes , da sprejmete opozorilo o operaciji nalaganja/prevzemanja in zaprete pogovorno okno podatkovnega skladišča.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.

                                                                                                                                                  2. Kliknite OK , da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite Pogon CD/DVD 1, izberite možnost za namestitev iz datoteke ISO podatkovnega skladišča in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Povezano in Povežite ob vklopu.

                                                                                                                                                  5. Shranite spremembe in ponovno zaženite navidezni računalnik.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .

                                                                                                                                                  Konfiguracija vozlišča HDS za integracijo proxy

                                                                                                                                                  Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.

                                                                                                                                                  Preden začnete

                                                                                                                                                  1

                                                                                                                                                  V spletni brskalnik vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP ali FQDN]/setup , vnesite poverilnice upravitelja, ki ste jih nastavili za vozlišče, in nato kliknite Sign In.

                                                                                                                                                  2

                                                                                                                                                  Pojdite na Trust Store & Proxy, nato pa izberite možnost:

                                                                                                                                                  • No Proxy-privzeta možnost pred vključitvijo posrednika. Posodobitev certifikata ni potrebna.
                                                                                                                                                  • Transparent Non-Inspecting Proxy- Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in za delovanje z neinspecting proxy strežnikom ne bi smela potrebovati nobenih sprememb. Posodobitev certifikata ni potrebna.
                                                                                                                                                  • Transparentno pregledovanje strežnika proxy-Vzhodišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Pri uvajanju sistema Hybrid Data Security niso potrebne spremembe konfiguracije HTTPS, vendar vozlišča HDS potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Explicit Proxy- Z eksplicitnim proxyjem odjemalcu (vozliščem HDS) poveste, kateri proxy strežnik naj uporabi, ta možnost pa podpira več vrst avtentikacije. Ko izberete to možnost, morate vnesti naslednje podatke:
                                                                                                                                                    1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.

                                                                                                                                                    2. Proxy Port-številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.

                                                                                                                                                    3. Protokol proxy-izberite http (pregleduje in nadzoruje vse zahteve, ki jih prejme odjemalec) ali https (zagotavlja kanal do strežnika, odjemalec pa prejme in potrdi strežnikovo potrdilo). Izberite možnost glede na to, kaj podpira vaš strežnik proxy.

                                                                                                                                                    4. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:

                                                                                                                                                      • Ni-Ne zahteva se nobeno dodatno preverjanje pristnosti.

                                                                                                                                                        Na voljo za posrednike HTTP ali HTTPS.

                                                                                                                                                      • Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za posrednike HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.

                                                                                                                                                        Na voljo samo za posrednike HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom.

                                                                                                                                                  Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite.

                                                                                                                                                  Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni.

                                                                                                                                                  Vozlišče se ponovno zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju.

                                                                                                                                                  Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku.

                                                                                                                                                  Registracija prvega vozlišča v gruči

                                                                                                                                                  To opravilo vzame generično vozlišče, ki ste ga ustvarili v razdelku Set up the Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

                                                                                                                                                  Ko registrirate prvo vozlišče, ustvarite gručo, v katero je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hibridne storitve poiščite možnost Hibridna varnost podatkov in kliknite Set up.

                                                                                                                                                  Prikaže se stran Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Izberite Yes , da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Next.

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč v gruči. Primeri: "San Francisco" ali "New York" ali "Dallas".

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Next.

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jih uporabili v Nastavitev hibridnega VM za varnost podatkov.

                                                                                                                                                  Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdi na vozlišče.

                                                                                                                                                  8

                                                                                                                                                  V opozorilnem sporočilu kliknite Nadaljuj .

                                                                                                                                                  Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite organizaciji Webex dodeliti dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue.

                                                                                                                                                  Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security.

                                                                                                                                                  Na strani Hybrid Data Security je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarjanje in registracija več vozlišč

                                                                                                                                                  Če želite v gručo dodati dodatna vozlišča, preprosto ustvarite dodatne virtualne računalnike in namestite isto konfiguracijsko datoteko ISO, nato pa vozlišče registrirajte. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so rezervni virtualni stroji, ki ste jih ustvarili v Complete the Prerequisites for Hybrid Data Security , rezervni gostitelji, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po katastrofi z uporabo rezervnega podatkovnega središča.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov virtualni stroj iz OVA in ponovite korake v poglavju Namestitev HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo v novem virtualnem stroju, pri čemer ponovite korake iz Set up the Hybrid Data Security VM (Nastavitev hibridnega virtualnega stroja za varnost podatkov).

                                                                                                                                                  3

                                                                                                                                                  V novem virtualnem stroju ponovite korake iz poglavja Naložite in namestite konfiguracijski ISO HDS.

                                                                                                                                                  4

                                                                                                                                                  Če za namestitev nastavljate posrednika, ponovite korake v Configure the HDS Node for Proxy Integration , kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. V spletnem mestu https://admin.webex.com z menija na levi strani zaslona izberite Storitve .

                                                                                                                                                  2. V razdelku Hibridne storitve poiščite kartico Hibridna varnost podatkov in kliknite Viri.

                                                                                                                                                    Prikaže se stran Hibridna sredstva za varnost podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Next.

                                                                                                                                                    Prikaže se sporočilo, da lahko vozlišče registrirate v oblak Webex.
                                                                                                                                                  6. Kliknite Pojdi na vozlišče.

                                                                                                                                                    Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite svoji organizaciji dodeliti dovoljenja za dostop do vozlišča.
                                                                                                                                                  7. Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue.

                                                                                                                                                    Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security.

                                                                                                                                                  Vozlišče je registrirano. Upoštevajte, da dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Poskusno izvajanje in prehod na produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite poskusno različico in jo prenesite v produkcijo

                                                                                                                                                  Potek opravil od poskusnega do proizvodnega postopka

                                                                                                                                                  Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanjo dodate uporabnike in jo začnete uporabljati za preizkušanje in preverjanje svoje namestitve v okviru priprav na prehod v produkcijo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte objekt skupine HdsTrialGroup .

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate za sinhronizacijo v oblak izbrati objekt skupine HdsTrialGroup , preden lahko začnete poskusno obdobje. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .

                                                                                                                                                  2

                                                                                                                                                  Aktivirajte poskusno različico

                                                                                                                                                  Začnite poskusno preskušanje. Dokler ne opravite tega opravila, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preizkusite namestitev hibridne varnosti podatkov

                                                                                                                                                  Preverite, ali so ključne zahteve posredovane v hibridno namestitev za varnost podatkov.

                                                                                                                                                  4

                                                                                                                                                  Spremljanje stanja varnosti hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajanje ali odstranjevanje uporabnikov iz poskusa

                                                                                                                                                  6

                                                                                                                                                  Poskusno fazo zaključite z enim od naslednjih dejanj:

                                                                                                                                                  Aktivirajte poskusno različico

                                                                                                                                                  Preden začnete

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati objekt skupine HdsTrialGroup za sinhronizacijo v oblak, preden lahko zaženete poskusno različico za svojo organizacijo. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v spletno stran https://admin.webex.com in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Settings.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Start Trial.

                                                                                                                                                  Status storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo poskusno uporabljali vaša vozlišča Hybrid Data Security za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite imenik Active Directory, HdsTrialGroup.)

                                                                                                                                                  Preizkusite namestitev hibridne varnosti podatkov

                                                                                                                                                  S tem postopkom preizkusite scenarije šifriranja hibridne varnosti podatkov.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Nastavite namestitev hibridne varnosti podatkov.

                                                                                                                                                  • Aktivirajte poskusno različico in dodajte več poskusnih uporabnikov.

                                                                                                                                                  • Zagotovite si dostop do dnevnika syslog, da preverite, ali so zahteve za ključe posredovane v namestitev hibridnega varovanja podatkov.

                                                                                                                                                  1

                                                                                                                                                  Ključe za določen prostor določi njegov ustvarjalec. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega in enega nepilotnega uporabnika.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate namestitev hibridnega varovanja podatkov, vsebina v prostorih, ki jih ustvarijo pilotski uporabniki, ni več dostopna, ko se zamenjajo kopije šifrirnih ključev, shranjene v odjemalcu.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v nov prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod sysloga, da preverite, ali so zahteve za ključe posredovane vaši namestitvi Hybrid Data Security.

                                                                                                                                                  1. Če želite preveriti, ali je uporabnik najprej vzpostavil varen kanal s sistemom KMS, filtrirajte kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Najdete vnos, kot je naslednji (identifikatorji so skrajšani zaradi lažjega branja):
                                                                                                                                                    2020-07-21 17:35:34.562 (10000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz sistema KMS, filtrirajte kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Najdete vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (10000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Najdete vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (10000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBIRANJE, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega objekta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Najdete vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (10000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljanje stanja varnosti hibridnih podatkov

                                                                                                                                                  Indikator stanja v nadzornem središču Control Hub vam pokaže, ali je z namestitvijo hibridnega varovanja podatkov vse v redu. Če želite bolj proaktivno opozarjanje, se prijavite na e-poštna obvestila. Obveščeni boste o alarmih ali nadgradnjah programske opreme, ki vplivajo na storitve.
                                                                                                                                                  1

                                                                                                                                                  V nadzornem središču Control Hub z menija na levi strani zaslona izberite Services .

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve.

                                                                                                                                                  Prikaže se stran Hybrid Data Security Settings (Nastavitve varnosti hibridnih podatkov).
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter.

                                                                                                                                                  Dodajanje ali odstranjevanje uporabnikov iz poskusa

                                                                                                                                                  Ko aktivirate poskusno različico in dodate začetni nabor poskusnih uporabnikov, lahko kadar koli med trajanjem poskusne različice dodajate ali odstranjujete poskusne uporabnike.

                                                                                                                                                  Če uporabnika odstranite iz poskusnega obdobja, bo njegov odjemalec zahteval ključe in ustvarjanje ključev iz sistema KMS v oblaku namesto iz vašega sistema KMS. Če odjemalec potrebuje ključ, ki je shranjen v vaši KMS, ga KMS v oblaku pridobi v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite Active Directory (namesto tega postopka), HdsTrialGroup; člane skupine si lahko ogledate v Control Hubu, vendar jih ne morete dodajati ali odstranjevati.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in izberite Services.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Settings.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Poskusni način (Trial Mode) na področju Stanje storitve kliknite Dodajanje uporabnikov (Add Users) ali kliknite Pogled in urejanje (view and edit) , če želite odstraniti uporabnike iz poskusnega obdobja.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X ob ID uporabnika, če želite uporabnika odstraniti iz preizkusa. Nato kliknite Save.

                                                                                                                                                  Prehod iz poskusnega v proizvodni proces

                                                                                                                                                  Ko ste prepričani, da namestitev dobro deluje za poskusne uporabnike, lahko preidete na produkcijo. Ko preidete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Iz produkcijskega načina se ne morete premakniti nazaj v poskusni način, razen če storitev deaktivirate v okviru obnovitve po nesreči. Ob ponovnem aktiviranju storitve morate nastaviti novo poskusno različico.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in izberite Services.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Settings.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Status storitve kliknite Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse uporabnike premakniti v produkcijo.

                                                                                                                                                  Zaključite poskusno različico brez prehoda v produkcijo

                                                                                                                                                  Če se med preizkusom odločite, da ne boste nadaljevali z uvajanjem storitve Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se zaključi preizkus in preizkusni uporabniki se premaknejo nazaj na storitve varnosti podatkov v oblaku. Poskusni uporabniki bodo izgubili dostop do podatkov, ki so bili šifrirani med preizkusom.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se v Control Hub in izberite Services.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Settings.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktivirati kliknite Deaktivirati.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati poskusno obdobje.

                                                                                                                                                  Upravljanje namestitve HDS

                                                                                                                                                  Upravljanje namestitve HDS

                                                                                                                                                  Z nalogami, opisanimi v tem poglavju, upravljate uvajanje hibridnega varovanja podatkov.

                                                                                                                                                  Nastavitev urnika nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za hibridno varovanje podatkov potekajo samodejno na ravni gruče, kar zagotavlja, da je v vseh vozliščih vedno nameščena ista različica programske opreme. Nadgradnje se izvajajo v skladu z urnikom nadgradenj za gručo. Ko je nadgradnja programske opreme na voljo, lahko gručo ročno nadgradite pred načrtovanim časom nadgradnje. Nastavite lahko poseben urnik nadgradnje ali uporabite privzeti urnik 3:00 AM Daily United States: Amerika/Los Angeles. Po potrebi lahko tudi preložite prihajajočo nadgradnjo.

                                                                                                                                                  Nastavitev urnika nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se v nadzorno vozlišče.

                                                                                                                                                  2

                                                                                                                                                  Na strani s pregledom v razdelku Hibridne storitve izberite Hibridna varnost podatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Sredstva za hibridno varnost podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na desni strani plošče s pregledom v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: Pod časovnim pasom se prikaže naslednji razpoložljivi datum in ura nadgradnje. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Postpone.

                                                                                                                                                  Spreminjanje konfiguracije vozlišča

                                                                                                                                                  Občasno boste morali spremeniti konfiguracijo vozlišča Hybrid Data Security zaradi razlogov, kot so:
                                                                                                                                                  • spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati s prvotno domeno, ki je bila uporabljena za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev podatkovne zbirke za spremembo na repliko podatkovne zbirke PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo prenosa podatkov iz PostgreSQLa v Microsoft SQL Server ali obratno. Če želite zamenjati okolje podatkovne zbirke, začnite novo uvajanje hibridne varnosti podatkov.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.

                                                                                                                                                  Poleg tega družba Hybrid Data Security zaradi varnosti uporablja gesla za storitvene račune z devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko geslom vaše organizacije poteče veljavnost, prejmete obvestilo od ekipe Webex, da ponastavite geslo za svoj račun naprave. (E-poštno sporočilo vsebuje besedilo: "Za posodobitev gesla uporabite vmesnik API strojnega računa.") Če veljavnost gesel še ni potekla, vam orodje ponudi dve možnosti:

                                                                                                                                                  • Mehka ponastavitev- Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO v vozliščih.

                                                                                                                                                  • Trda ponastavitev-Stara gesla takoj prenehajo delovati.

                                                                                                                                                  Če gesla potečejo brez ponastavitve, to vpliva na storitev HDS in zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO v vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko zaženete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne spremenljivke okolja:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    Proxy strežnik HTTP brez avtentikacije

                                                                                                                                                    GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS brez avtentikacije

                                                                                                                                                    GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy strežnik HTTP z avtentikacijo

                                                                                                                                                    GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS z avtentikacijo

                                                                                                                                                    GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami podatkovne zbirke, posodobitvami potrdil ali spremembami politike avtorizacije.

                                                                                                                                                  1

                                                                                                                                                  V lokalnem računalniku z uporabo programa Docker zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Če se želite prijaviti v register slik Docker, vnesite naslednje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na poziv za geslo vnesite to geslo:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za svoje okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek vzeli najnovejše orodje za namestitev. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:

                                                                                                                                                    • V običajnih okoljih brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s posredniškim strežnikom HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s posredniškim strežnikom HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez posrednika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s posrednikom HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s posrednikom HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080."

                                                                                                                                                  6. Z brskalnikom se povežite z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

                                                                                                                                                  7. Ob pozivu vnesite poverilnice za prijavo stranke v vozlišče Control Hub in kliknite Accept , da nadaljujete.

                                                                                                                                                  8. Uvozite trenutno konfiguracijsko datoteko ISO.

                                                                                                                                                  9. Sledite navodilom, da dokončate orodje in prenesete posodobljeno datoteko.

                                                                                                                                                    Če želite zaustaviti orodje Setup, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem središču.

                                                                                                                                                  2

                                                                                                                                                  Če imate samo eno vozlišče HDS, na katerem teče, ustvarite novo hibridno vozlišče Hybrid Data Security VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč.

                                                                                                                                                  1. Namestite OVA gostitelja HDS.

                                                                                                                                                  2. Nastavite VM HDS.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Novo vozlišče registrirajte v vozlišču Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, ki uporabljajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite na vsakem vozlišču zapored, pri čemer posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite navidezni stroj.

                                                                                                                                                  2. V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.

                                                                                                                                                  3. Kliknite CD/DVD pogon 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Connect at power on.

                                                                                                                                                  5. Shranite spremembe in vklopite navidezni stroj.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 in zamenjajte konfiguracijo na vsakem preostalem vozlišču, na katerem je nameščena stara konfiguracija.

                                                                                                                                                  Izklopite način blokiranega zunanjega DNS razreševanja

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno zaženete preskus povezave proxy.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Prepričajte se, da lahko notranji strežniki DNS razrešujejo javna imena DNS in da lahko vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

                                                                                                                                                  2

                                                                                                                                                  Pojdite na Pregled (privzeta stran).

                                                                                                                                                  Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da.

                                                                                                                                                  3

                                                                                                                                                  Pojdite na stran Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preverite povezavo proxy.

                                                                                                                                                  Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preskus povezave proxy na vsakem vozlišču v gruči Hybrid Data Security.

                                                                                                                                                  Odstranitev vozlišča

                                                                                                                                                  S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko vozlišče odstranite iz gruče, izbrišite virtualni stroj, da preprečite nadaljnji dostop do varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Prijavite se v Control Hub in izberite Services.

                                                                                                                                                  2. Na kartici Hybrid Data Security kliknite View All , da se prikaže stran Hybrid Data Security Resources.

                                                                                                                                                  3. Izberite grozd, da se prikaže njegova plošča s pregledom.

                                                                                                                                                  4. Kliknite Odpri seznam vozlišč.

                                                                                                                                                  5. Na kartici Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejavnosti > Izbriši vozlišče.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem navigacijskem podoknu z desno tipko miške kliknite VM in kliknite Delete.)

                                                                                                                                                  Če VM ne izbrišete, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do varnostnih podatkov.

                                                                                                                                                  Obnovitev po nesreči z uporabo rezervnega podatkovnega centra

                                                                                                                                                  Najpomembnejša storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridnemu varovanju podatkov, se v gručo posredujejo zahteve za ustvarjanje novih ključev. Grozd je odgovoren tudi za vračanje ključev, ki jih je ustvaril, vsem uporabnikom, ki so pooblaščeni za njihovo pridobitev, na primer članom prostora za pogovore.

                                                                                                                                                  Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne zbirke Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEODSTRANJIVO izgubo vsebine stranke. Da bi preprečili takšno izgubo, je treba upoštevati naslednje prakse:

                                                                                                                                                  Če zaradi nesreče namestitev HDS v primarnem podatkovnem središču postane nerazpoložljiva, po tem postopku ročno preklopite na rezervno podatkovno središče.

                                                                                                                                                  1

                                                                                                                                                  Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings.

                                                                                                                                                  3

                                                                                                                                                  Na strani Advanced Settings dodajte spodnjo konfiguracijo ali odstranite konfiguracijo passiveMode , da vozlišče postane aktivno. Ko je to konfigurirano, lahko vozlišče upravlja promet.

                                                                                                                                                   pasivni način: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

                                                                                                                                                  9

                                                                                                                                                  Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod sysloga in preverite, ali vozlišča rezervnega podatkovnega centra niso v pasivnem načinu. "KMS konfiguriran v pasivnem načinu" se ne sme pojaviti v syslogih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če primarni podatkovni center po prevzemu v okvari spet postane aktiven, prestavite rezervni podatkovni center v pasivni način tako, da sledite korakom, opisanim v poglavju Setup Standby Data Center for Disaster Recovery (Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči).

                                                                                                                                                  (Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom ponovno odstranite namestitev ISO.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

                                                                                                                                                  1

                                                                                                                                                  Izklopite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V napravi vCenter Server Appliance izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Edit Settings > CD/DVD drive in odstranite kljukico Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Vključite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS po vrsti.

                                                                                                                                                  Odpravljanje težav z varnostjo hibridnih podatkov

                                                                                                                                                  Oglejte si opozorila in odpravite težave

                                                                                                                                                  Hibridna namestitev varovanja podatkov se šteje za nedostopno, če vsa vozlišča v gruči niso dosegljiva ali če gruča deluje tako počasi, da se zahteve prekinejo. Če uporabniki ne morejo doseči gruče Hybrid Data Security, se pojavijo naslednji simptomi:

                                                                                                                                                  • Ni mogoče ustvariti novih prostorov (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočila in naslovi prostora niso dešifrirani:

                                                                                                                                                    • V prostor so dodani novi uporabniki (ni mogoče pridobiti ključev)

                                                                                                                                                    • obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihovi odjemalci imeli predpomnilnik šifrirnih ključev.

                                                                                                                                                  Pomembno je, da ustrezno spremljate svojo gručo Hybrid Data Security in takoj obravnavate vsa opozorila, da ne pride do motenj v delovanju.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo hibridne varnosti podatkov, vozlišče Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Najpogostejše težave in koraki za njihovo reševanje

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Neuspešen dostop do lokalne zbirke podatkov.

                                                                                                                                                  Preverite napake v zbirki podatkov ali težave v lokalnem omrežju.

                                                                                                                                                  Neuspešna povezava z lokalno zbirko podatkov.

                                                                                                                                                  Preverite, ali je strežnik zbirke podatkov na voljo in ali so bili pri konfiguraciji vozlišča uporabljeni pravilni poverilnice servisnega računa.

                                                                                                                                                  Napaka pri dostopu do storitev v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija v storitve v oblaku je bila ukinjena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je bila prekinjena.

                                                                                                                                                  Registracija v storitve v oblaku je prekinjena. Storitev se ustavi.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte poskusno različico ali dokončajte prenos poskusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s certifikatom strežnika.

                                                                                                                                                  Prepričajte se, da se potrdilo strežnika ujema z nastavljeno domeno za aktivacijo storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bil CN potrdila nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo.

                                                                                                                                                  Neuspešno preverjanje pristnosti v storitvah v oblaku.

                                                                                                                                                  Preverite točnost in morebitno prenehanje veljavnosti poverilnic storitvenega računa.

                                                                                                                                                  Ni uspelo odpreti lokalne datoteke s ključi.

                                                                                                                                                  Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika je neveljavno.

                                                                                                                                                  Preverite datum poteka veljavnosti potrdila strežnika in potrdite, da ga je izdal zaupanja vreden organ za potrjevanje.

                                                                                                                                                  Ni mogoče objaviti metrike.

                                                                                                                                                  Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.

                                                                                                                                                  imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo priklopa ISO v navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali se uspešno namesti.

                                                                                                                                                  Odpravljanje težav z varnostjo hibridnih podatkov

                                                                                                                                                  Pri odpravljanju težav s programom Hybrid Data Security uporabite naslednje splošne smernice.
                                                                                                                                                  1

                                                                                                                                                  V vozlišču Control Hub preverite morebitna opozorila in popravite vse elemente, ki jih tam najdete.

                                                                                                                                                  2

                                                                                                                                                  V izhodu strežnika syslog si oglejte dejavnosti iz namestitve Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Kontaktirajte Ciscova podpora.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave pri hibridni varnosti podatkov

                                                                                                                                                  • Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do podatkovne zbirke shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati prostorov na seznamu Ljudje, ki so bili ustvarjeni s ključi iz vaše KMS. To velja za poskusne in produkcijske namestitve. Trenutno nimamo rešitve ali popravka za to težavo, zato vas pozivamo, da ne zapirate storitev HDS, ko te obdelujejo aktivne uporabniške račune.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, ohrani to povezavo za določen čas (verjetno eno uro). Ko uporabnik postane član hibridne poskusne zaščite podatkov, njegov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler se ta ne prekine. Uporabnik se lahko tudi odjavi in se ponovno prijavi v aplikacijo Webex App, da posodobi lokacijo, ki jo aplikacija kontaktira za šifrirne ključe.

                                                                                                                                                    Enako se obnašanje pojavi, ko poskusno različico premaknete v produkcijsko različico za organizacijo. Vsi uporabniki, ki niso v poskusni fazi, z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo te storitve uporabljali še naprej, dokler se o povezavi ECDH ne bodo ponovno pogajali (s časovno omejitvijo ali z izpisom in ponovno prijavo).

                                                                                                                                                  Uporaba OpenSSL za generiranje datoteke PKCS12

                                                                                                                                                  Preden začnete

                                                                                                                                                  • OpenSSL je eno od orodij, s katerim lahko datoteko PKCS12 pripravite v ustrezni obliki za nalaganje v orodju HDS Setup Tool. Obstajajo tudi drugi načini, zato ne podpiramo ali spodbujamo enega načina v primerjavi z drugim.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot vodilo, ki vam bo pomagalo ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v dokumentu X.509 Certificate Requirements (Zahteve za potrdilo X.509). Preden nadaljujete, razumite te zahteve.

                                                                                                                                                  • Namestite OpenSSL v podprto okolje. Programsko opremo in dokumentacijo najdete na spletni strani https://www.openssl.org .

                                                                                                                                                  • Ustvarite zasebni ključ.

                                                                                                                                                  • Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil (CA).

                                                                                                                                                  1

                                                                                                                                                  Ko od overitelja prejmete potrdilo strežnika, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko s svežnjem potrdil z imenom hdsnode-bundle.pem. Datoteka s svežnjem mora vsebovati potrdilo strežnika, morebitna vmesna potrdila CA in potrdila korenskega CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Certifikat strežnika. ### -----ENEND CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Certifikat vmesnega overitelja. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Korensko potrdilo CA. ### -----KONEC POTRDILA-----

                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podatke o potrdilu strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Na poziv vnesite geslo za šifriranje zasebnega ključa, tako da bo ta naveden v izpisu. Nato preverite, ali zasebni ključ in prvo potrdilo vsebujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Vnesite uvozno geslo: MAC preverjeno OK Atributi vrečke friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Vnesite geslo PEM: Preverjanje - vnesite geslo PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Atributi torbe friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Atributi torbe friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12 in geslo, ki ste ga nastavili zanjo, boste uporabili v Ustvarjanje konfiguracijskega ISO za gostitelje HDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko ponovno uporabite za zahtevek za novo potrdilo, ko poteče veljavnost prvotnega potrdila.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Zbiranje izhodnih metričnih podatkov o prometu

                                                                                                                                                  Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Mednje spadajo sistemske metrike za največjo kupo, uporabljeno kupo, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike podatkovnega skladišča in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo ključa po kanalu zunaj pasu (ločeno od zahteve).

                                                                                                                                                  Vhodni promet

                                                                                                                                                  Vozlišča za hibridno varovanje podatkov prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

                                                                                                                                                  • zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja.

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfiguracija proxyjev Squid za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek Squid Proxy

                                                                                                                                                  Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss: prometa za pravilno delovanje storitev.

                                                                                                                                                  Squid 4 in 5

                                                                                                                                                  Dodajte direktivo on_unsupported_protocol v squid.conf:

                                                                                                                                                  on_unsupported_protocol predor vse

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove in spremenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Narejene spremembe

                                                                                                                                                  20 oktobra, 2023

                                                                                                                                                  Avgust 07, 2023

                                                                                                                                                  23 maja, 2023

                                                                                                                                                  • Izbrisani podatki iz zahtev strežnika zbirke podatkov, ki zahtevajo omogočanje funkcije, tako da se obrnete na skupino za račune.

                                                                                                                                                  • Posodobljene informacije v razdelku Zahteve za zunanjo povezljivost in dodana Kanada v tabelo gostiteljev CI.

                                                                                                                                                  • Dodana opomba v Pričakovanja za uvajanje hibridne varnosti podatkov v zvezi z nerazpoložljivostjo mehanizmov za premik ključev nazaj v oblak.

                                                                                                                                                  06 decembra, 2022

                                                                                                                                                  23 novembra, 2022

                                                                                                                                                  13 oktobra, 2021

                                                                                                                                                  Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. Glejte Zahteveza namizje Dockerja.

                                                                                                                                                  Junij 24, 2021

                                                                                                                                                  Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za ustvarjanje datoteke PKCS12.

                                                                                                                                                  30 aprila, 2021

                                                                                                                                                  Spremenili smo zahtevo za VM za prostor na trdem disku na lokalnem trdem disku na 30 GB. Za podrobnosti glejte Zahteve za virtualnega gostitelja.

                                                                                                                                                  24 februarja, 2021

                                                                                                                                                  HDS Setup Tool lahko zdaj deluje za proxyjem. Za podrobnosti glejte Ustvarjanje konfiguracijskega ISO za gostitelje HDS.

                                                                                                                                                  2 februarja, 2021

                                                                                                                                                  HDS lahko zdaj deluje brez nameščene datoteke ISO. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.

                                                                                                                                                  11 januarja, 2021

                                                                                                                                                  Dodane so bile informacije o orodju za nastavitev HDS in proxyjih za ustvarjanje konfiguracijskega ISO za gostiteljeHDS.

                                                                                                                                                  13 oktobra, 2020

                                                                                                                                                  Posodobljen prenos namestitvenih datotek.

                                                                                                                                                  8 oktobra, 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

                                                                                                                                                  Avgust 14, 2020

                                                                                                                                                  Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča s spremembami postopka vpisa.

                                                                                                                                                  Avgust 5, 2020

                                                                                                                                                  Posodobljeno Preskusite uvedbo hibridne varnosti podatkov za spremembe v dnevniških sporočilih.

                                                                                                                                                  Posodobljene zahteve za navideznega gostitelja, da odstranite največje število gostiteljev.

                                                                                                                                                  16 junija, 2020

                                                                                                                                                  Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku nadzornega središča.

                                                                                                                                                  4 junija, 2020

                                                                                                                                                  Posodobljeno Ustvarjanje konfiguracije ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih morda nastavite.

                                                                                                                                                  29 maja, 2020

                                                                                                                                                  Posodobljeno »Ustvarjanje konfiguracijskega ISO-ja za gostitelje HDS«, ki prikazuje, da lahko TLS uporabljate tudi z zbirkami podatkov strežnika SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

                                                                                                                                                  5 maja, 2020

                                                                                                                                                  Posodobljene zahteve za navideznega gostitelja, da prikažejo nove zahteve ESXi 6.5.

                                                                                                                                                  21 aprila, 2020

                                                                                                                                                  Posodobljene zahteve za zunanjo povezljivost z novimi gostitelji CI v Ameriki.

                                                                                                                                                  1 aprila, 2020

                                                                                                                                                  Posodobljene zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

                                                                                                                                                  20 februarja, 2020Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu Napredne nastavitve v orodju za nastavitev HDS.
                                                                                                                                                  4 februarja, 2020Posodobljene zahteveza strežnik proxy.
                                                                                                                                                  16 decembra, 2019Pojasnjena je zahteva, da način blokiranega zunanjega razreševanja DNS deluje v zahtevahza strežnik proxy.
                                                                                                                                                  19 novembra, 2019

                                                                                                                                                  Dodane so bile informacije o načinu blokiranega zunanjega razreševanja DNS v teh razdelkih:

                                                                                                                                                  8 novembra, 2019

                                                                                                                                                  Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne kasneje.

                                                                                                                                                  V skladu s tem so bili posodobljeni naslednji razdelki:


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Ta možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  6 septembra, 2019

                                                                                                                                                  Dodane zahtevestrežnika SQL Server Standard v strežnik zbirke podatkov.

                                                                                                                                                  Avgust 29, 2019Dodana je bila priloga Konfiguriraj proxyje lignjev za hibridno varnost podatkov z navodili za konfiguriranje proxyjev lignjev za ignoriranje prometa websocket za pravilno delovanje.
                                                                                                                                                  20 avgusta, 2019

                                                                                                                                                  Dodani in posodobljeni razdelki za podporo proxy za komunikacijo vozlišča Hybrid Data Security v oblaku Webex.

                                                                                                                                                  Če želite dostopati samo do vsebine podpore za proxy za obstoječo uvedbo, si oglejte članek pomoči Podpora proxy za hibridno varnost podatkov in Webex Video Mesh .

                                                                                                                                                  13 junija, 2019Posodobljen potek preskusnega v proizvodnem opravilu z opomnikom za sinhronizacijo HdsTrialGroup Združite predmet pred začetkom preskusne različice, če vaša organizacija uporablja sinhronizacijo imenika.
                                                                                                                                                  6 marca, 2019
                                                                                                                                                  28 februarja, 2019
                                                                                                                                                  • Popravljena je bila količina prostora na trdem disku na strežniku, ki jo morate nameniti pri pripravi navideznih gostiteljev, ki postanejo vozlišča hibridne varnosti podatkov, od 50 GB do 20 GB, da odraža velikost diska, ki ga ustvari OVA.

                                                                                                                                                  26 februarja, 2019
                                                                                                                                                  • Vozlišča hibridne varnosti podatkov zdaj podpirajo šifrirane povezave s strežniki baze podatkov PostgreSQL in šifrirane povezave dnevnika s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.

                                                                                                                                                  • Ciljni URL-ji so bili odstranjeni iz tabele »Zahteve za internetno povezljivost za hibridne varnostne vozlišča podatkov«. Tabela se zdaj nanaša na seznam, ki se hrani v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« v omrežnih zahtevah za storitveWebex Teams.

                                                                                                                                                  24 januarja, 2019

                                                                                                                                                  • Hibridna varnost podatkov zdaj podpira Microsoft SQL Server kot zbirko podatkov. SQL Server Always On (Always On Failover Clusters in Always On Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v hibridni varnosti podatkov. Dodana vsebina, povezana z uvajanjem s strežnikom SQL Server.


                                                                                                                                                     

                                                                                                                                                    Podpora za Microsoft SQL Server je namenjena samo novim uvedbam hibridne varnosti podatkov. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

                                                                                                                                                  5 novembra, 2018
                                                                                                                                                  19 oktobra, 2018

                                                                                                                                                  Julij 31, 2018

                                                                                                                                                  21 maja, 2018

                                                                                                                                                  Spremenjena terminologija, ki odraža preoblikovanje blagovne znamke Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security je zdaj hibridna varnost podatkov.

                                                                                                                                                  • Aplikacija Cisco Spark je zdaj aplikacija Webex App.

                                                                                                                                                  • Cisco Collaboraton Cloud je zdaj oblak Webex.

                                                                                                                                                  11 aprila, 2018
                                                                                                                                                  22 februarja, 2018
                                                                                                                                                  15 februarja, 2018
                                                                                                                                                  • V tabeli Zahteve za potrdilo X.509 določite, da potrdilo ne more biti potrdilo z nadomestnim znakom in da KMS uporablja domeno CN in ne domene, ki je določena v poljih SAN x.509v3.

                                                                                                                                                  18 januarja, 2018

                                                                                                                                                  2 novembra, 2017

                                                                                                                                                  • Pojasnjena sinhronizacija imenika HdsTrialGroup.

                                                                                                                                                  • Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev na vozlišča VM.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvič objavljeno

                                                                                                                                                  Začnite s hibridno varnostjo podatkov

                                                                                                                                                  Pregled hibridne varnosti podatkov

                                                                                                                                                  Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju aplikacije Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). Storitev upravljanja ključev je odgovorna za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

                                                                                                                                                  Privzeto vse stranke aplikacije Webex dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v KMS v oblaku v varnostnem kraljestvu Cisco. Hibridna varnost podatkov premakne KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da nihče razen vas nima ključev do vaše šifrirane vsebine.

                                                                                                                                                  Arhitektura varnostnega področja

                                                                                                                                                  Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

                                                                                                                                                  Področja ločevanja (brez hibridne varnosti podatkov)

                                                                                                                                                  Da bi bolje razumeli hibridno varnost podatkov, si najprej poglejmo ta čisti primer v oblaku, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oba sta ločena od področja, kjer je šifrirana vsebina na koncu shranjena, v podatkovnem centru C.

                                                                                                                                                  V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je preverila pristnost s storitvijo identitete. Ko uporabnik sestavi sporočilo, ki ga pošlje v prostor, se izvedejo naslednji koraki:

                                                                                                                                                  1. Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.

                                                                                                                                                  2. Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.

                                                                                                                                                  3. Šifrirano sporočilo je poslano storitvi za skladnost s predpisi za preverjanje skladnosti.

                                                                                                                                                  4. Šifrirano sporočilo je shranjeno v območju shranjevanja.

                                                                                                                                                  Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost s predpisi) v podatkovno središče na mestu uporabe. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovih domenah.

                                                                                                                                                  Sodelovanje z drugimi organizacijami

                                                                                                                                                  Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima ključ za prostor v lasti druga organizacija, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da dobi ključ iz ustreznega KMS, nato pa ključ vrne uporabniku v prvotnem kanalu.

                                                                                                                                                  Storitev KMS, ki se izvaja v organizaciji A, preveri povezave s KMS v drugih organizacijah s potrdili x.509 PKI. Glejte Priprava okolja za podrobnosti o ustvarjanju potrdila x.509 za uporabo z uvedbo hibridne varnosti podatkov.

                                                                                                                                                  Pričakovanja glede uvedbe hibridne varnosti podatkov

                                                                                                                                                  Uvedba hibridne varnosti podatkov zahteva veliko zavezanost strank in zavedanje o tveganjih, ki jih prinaša lastništvo šifrirnih ključev.

                                                                                                                                                  Če želite uvesti hibridno varnost podatkov, morate zagotoviti:

                                                                                                                                                  • Varno podatkovno središče v državi, ki je podprta lokacija za paketeCisco Webex Teams.

                                                                                                                                                  • Oprema, programska oprema in dostop do omrežja, opisani v razdelku Priprava okolja.

                                                                                                                                                  Popolna izguba konfiguracijskega ISO-ja, ki ga ustvarite za hibridno varnost podatkov, ali zbirke podatkov, ki jo vnesete, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo uvedbo, vendar bo vidna le nova vsebina. Če se želite izogniti izgubi dostopa do podatkov, morate:

                                                                                                                                                  • Upravljajte varnostno kopiranje in obnovitev zbirke podatkov ter konfiguracijski ISO.

                                                                                                                                                  • Bodite pripravljeni na hitro obnovitev po nesreči, če pride do katastrofe, kot je okvara diska zbirke podatkov ali katastrofa podatkovnega centra.


                                                                                                                                                   

                                                                                                                                                  Ni mehanizma za premikanje ključev nazaj v oblak po uvedbi HDS.

                                                                                                                                                  Postopek namestitve na visoki ravni

                                                                                                                                                  Ta dokument zajema nastavitev in upravljanje uvedbe hibridne varnosti podatkov:

                                                                                                                                                  • Nastavitev hibridne varnostipodatkov – to vključuje pripravo zahtevane infrastrukture in namestitev programske opreme za hibridno varnost podatkov, preizkušanje uvedbe s podnaborom uporabnikov v preskusnem načinu in prehod na produkcijo, ko je preskušanje končano. S tem se celotna organizacija pretvori v uporabo gruče hibridne varnosti podatkov za varnostne funkcije.

                                                                                                                                                    Nastavitevne, poskusne in proizvodne faze so podrobno obravnavane v naslednjih treh poglavjih.

                                                                                                                                                  • Ohranite uvedbohibridne varnosti podatkov – oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek za IT lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. Uporabite lahko obvestila na zaslonu in nastavite e-poštna opozorila v nadzornem središču.

                                                                                                                                                  • Seznanite se z pogostimi opozorili, koraki za odpravljanje težav in znanimi težavami– če naletite na težave pri uvajanju ali uporabi hibridne varnosti podatkov, lahko težavo odkrijete in odpravite v zadnjem poglavju tega priročnika in dodatku Znane težave.

                                                                                                                                                  Model uvajanja hibridne varnosti podatkov

                                                                                                                                                  V podatkovnem središču podjetja uvedete hibridno varnost podatkov kot eno skupino vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih vtičnic in varnega protokola HTTP.

                                                                                                                                                  Med postopkom namestitve vam posredujemo datoteko OVA za nastavitev navidezne naprave na VM-jih, ki jih vključite. Z orodjem za namestitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozda Hybrid Data Security uporablja vaš strežnik Syslogd in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in zbirki podatkov konfigurirate v orodju za namestitev HDS.)

                                                                                                                                                  Model uvajanja hibridne varnosti podatkov

                                                                                                                                                  Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri, lahko pa jih imate do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

                                                                                                                                                  Vsa vozlišča v gruči dostopajo do istega shrambe podatkov s ključi in beležijo dejavnost v isti strežnik syslog. Vozlišča so brez stanja in obravnavajo ključne zahteve v krožnem načinu, kot ga usmerja oblak.

                                                                                                                                                  Vozlišča postanejo aktivna, ko jih registrirate v nadzornem središču. Če želite posamezno vozlišče izločiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

                                                                                                                                                  Podpiramo samo eno skupino na organizacijo.

                                                                                                                                                  Preskusni način hibridne varnosti podatkov

                                                                                                                                                  Ko nastavite uvedbo hibridne varnosti podatkov, jo najprej poskusite z naborom pilotnih uporabnikov. V preskusnem obdobju ti uporabniki uporabljajo vašo domeno hibridne varnosti podatkov na mestu uporabe za šifrirne ključe in druge varnostne storitve področja. Drugi uporabniki še naprej uporabljajo varnostno področje v oblaku.

                                                                                                                                                  Če se odločite, da med preskusno različico ne boste nadaljevali z uvajanjem in deaktivirali storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so v poskusnem obdobju sodelovali z ustvarjanjem novih prostorov, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

                                                                                                                                                  Če ste prepričani, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti hibridno varnost podatkov na vse uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili uporabljeni med preskusom. Vendar pa se ne morete premikati naprej in nazaj med proizvodnim načinom in prvotno preskusno različico. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča hibridne varnosti podatkov v gruči.

                                                                                                                                                  Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Med uvajanjem nastavite varno podatkovno središče v pripravljenosti. V primeru katastrofe podatkovnega centra lahko ročno preklopite uvajanje v podatkovni center v stanju pripravljenosti.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ročni preklop na izpadek v podatkovni center v stanju pripravljenosti

                                                                                                                                                  Podatkovne baze aktivnih podatkovnih centrov in podatkovnih centrov v stanju pripravljenosti so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo preklopa na izpad. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Zato vozlišča podatkovnega centra v pripravljenosti vedno ostanejo posodobljena z najnovejšo različico programske opreme HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivna vozlišča hibridne varnosti podatkov morajo biti vedno v istem podatkovnem središču kot aktivni strežnik baze podatkov.

                                                                                                                                                  Nastavitev podatkovnega središča v stanju pripravljenosti za obnovitev po katastrofi

                                                                                                                                                  Sledite spodnjim korakom za konfiguracijo datoteke ISO podatkovnega središča v stanju pripravljenosti:

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Podatkovni center v pripravljenosti mora odražati proizvodno okolje VM-jev in varnostno kopijo baze podatkov PostgreSQL ali Microsoft SQL Server. Če ima na primer produkcija 3 virtualne računalnike, na katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike. (Za pregled tega modela preklopa v primeru nesreče glejte Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi.)

                                                                                                                                                  • Prepričajte se, da je sinhronizacija zbirke podatkov omogočena med zbirko podatkov aktivnih in pasivnih vozlišč gruče.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje za namestitev HDS in sledite korakom, navedenim v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, v katerem je treba izvesti naslednje posodobitve konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraciji strežnika Syslogd kliknite Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na strani Napredne nastavitve dodajte spodnjo konfiguracijo, da vozlišče postavite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo nobenega prometa.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >pogon CD/DVD 1 in izberite Datoteka ISO za shranjevanje podatkov.


                                                                                                                                                   

                                                                                                                                                  Prepričajte se, da sta preverjeni možnosti Povezano in Poveži ob vklopu , da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v stanju pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite sysloge in preverite, ali so vozlišča v pasivnem načinu. V syslogih bi si morali ogledati sporočilo »KMS, konfiguriran v pasivnem načinu«.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Po konfiguraciji passiveMode v datoteki ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez možnosti passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode Configured lahko pomaga pri hitrem postopku preklapljanja z izpadom med obnovo po katastrofi. Za podroben postopek preklapljanja z napako glejte Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti.

                                                                                                                                                  Podpora za proxy

                                                                                                                                                  Hibridna varnost podatkov podpira eksplicitne, pregledne preglede in nepregledne strežnike proxy. Te strežnike proxy lahko povežete z uvajanjem, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Na vozliščih lahko uporabite skrbniški vmesnik platforme za upravljanje potrdil in preverjanje splošnega stanja povezljivosti po nastavitvi strežnika proxy na vozliščih.

                                                                                                                                                  Vozlišča hibridne varnosti podatkov podpirajo te možnosti strežnika proxy:

                                                                                                                                                  • Brez strežnika proxy– privzeto, če za integracijo strežnika proxy ne uporabljate konfiguracije za nastavitev vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Pregleden strežnik proxybrez pregledovanja – vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delovanje s strežnikom proxy, ki ne pregleduje. Posodobitev potrdila ni potrebna.

                                                                                                                                                  • Pregledno tuneliranje ali pregled strežnika proxy– vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Pregledovanje strežnikov proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).

                                                                                                                                                  • Eksplicitni strežnik proxy– z eksplicitnim strežnikom proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni strežnik proxy, morate za vsako vozlišče vnesti te podatke:

                                                                                                                                                    1. IP/FQDNstrežnika proxy – naslov, s katerim lahko vzpostavite povezavo s proxyjem.

                                                                                                                                                    2. Vrataproxy – številka vrat, ki jih strežnik proxy uporablja za poslušanje prometa proxy.

                                                                                                                                                    3. Protokolproxy – odvisno od tega, kaj podpira vaš strežnik proxy, lahko izbirate med temi protokoli:

                                                                                                                                                      • HTTP – ogleda in nadzira vse zahteve, ki jih pošlje odjemalec

                                                                                                                                                      • HTTPS – zagotavlja kanal do strežnika. Odjemalec prejme in preveri veljavnost potrdila strežnika.

                                                                                                                                                    4. Vrstapreverjanja pristnosti – izberite eno od teh vrst preverjanja pristnosti:

                                                                                                                                                      • Brez– nadaljnja preverjanja pristnosti ni potrebna.

                                                                                                                                                        Na voljo, če za protokol proxy izberete HTTP ali HTTPS.

                                                                                                                                                      • Osnovno– uporablja se za uporabniškega agenta HTTP za vnos uporabniškega imena in gesla pri zahtevi. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo, če za protokol proxy izberete HTTP ali HTTPS.

                                                                                                                                                        Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.

                                                                                                                                                      • Povzetek– uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi razpršilno funkcijo za uporabniško ime in geslo pred pošiljanjem prek omrežja.

                                                                                                                                                        Na voljo le, če kot protokol proxy izberete HTTPS.

                                                                                                                                                        Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.

                                                                                                                                                  Primer hibridnih podatkovnih varnostnih vozlišč in proxy

                                                                                                                                                  Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in proxyjem. Za možnosti preglednega pregleda in eksplicitnega pregleda strežnika proxy HTTPS mora biti na strežniku proxy in na vozliščih hibridne varnosti podatkov nameščeno isto korensko potrdilo.

                                                                                                                                                  Blokiran zunanji način razločovanja DNS (eksplicitne konfiguracije strežnika proxy)

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če vozlišče pri uvajanju z eksplicitnimi konfiguracijami strežnikov proxy, ki ne dovoljujejo zunanjega reševanja DNS za notranje odjemalce, ne more poizvedovati strežnikov DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišč in drugi preskusi povezljivosti proxy.

                                                                                                                                                  Priprava okolja

                                                                                                                                                  Zahteve za hibridno varnost podatkov

                                                                                                                                                  Licenčne zahteve za Cisco Webex

                                                                                                                                                  Uvedba hibridne varnosti podatkov:

                                                                                                                                                  Zahteve za namizje Docker

                                                                                                                                                  Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za namizno platformo Docker. Za podrobnosti si oglejte objavo v spletnem dnevniku Dockerja, » Docker posodablja in razširja naše naročnine na izdelke«.

                                                                                                                                                  Zahteve za certifikat X.509

                                                                                                                                                  Veriga potrdil mora izpolnjevati naslednje zahteve:

                                                                                                                                                  Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov

                                                                                                                                                  Zahteva

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podpisal ga je zaupanja vreden overitelj potrdil

                                                                                                                                                  Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) pri https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi ime domene Common Name (CN), ki identificira vašo uvedbo hibridne varnosti podatkov

                                                                                                                                                  • Ni nadomestno potrdilo

                                                                                                                                                  CN ni treba biti dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer: hds.company.com.

                                                                                                                                                  KN ne sme vsebovati * (nadomestni znak).

                                                                                                                                                  CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča hibridne varnosti podatkov v gruči uporabljajo isto potrdilo. Storitev upravljanja zbogom se identificira z domeno CN in ne s katero koli domeno, ki je določena v poljih SAN x.509v3.

                                                                                                                                                  Ko registrirate vozlišče s tem certifikatom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za poskusno in produkcijsko uvedbo.

                                                                                                                                                  • Podpis, ki ni SHA1

                                                                                                                                                  Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS drugih organizacij.

                                                                                                                                                  • Formatirano kot datoteka PKCS #12, zaščitena z geslom

                                                                                                                                                  • Uporabite prijazno ime kms-private-key, da označite potrdilo, zasebni ključ in vmesna potrdila, ki jih želite naložiti.

                                                                                                                                                  Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL.

                                                                                                                                                  Geslo boste morali vnesti, ko boste zagnali orodje za namestitev HDS.

                                                                                                                                                  Programska oprema za upravljanje ključev ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključev, na primer preverjanje pristnosti strežnika. V redu je, da uporabite preverjanje pristnosti strežnika ali druge nastavitve.

                                                                                                                                                  Zahteve za virtualnega gostitelja

                                                                                                                                                  Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo te zahteve:

                                                                                                                                                  • Vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem središču

                                                                                                                                                  • VMware ESXi 6.5 (ali novejši) je nameščen in se izvaja.


                                                                                                                                                     

                                                                                                                                                    Nadgradnjo morate nadgraditi, če imate starejšo različico ESXi.

                                                                                                                                                  • Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB prostora na trdem disku na strežnik

                                                                                                                                                  Zahteve za strežnik zbirke podatkov


                                                                                                                                                   

                                                                                                                                                  Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo zbirke podatkov.

                                                                                                                                                  Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

                                                                                                                                                  Tabela 2. Zahteve za strežnik zbirke podatkov glede na vrsto zbirke podatkov

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ali 16, nameščen in se izvaja.

                                                                                                                                                  • Nameščen strežnik SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 zahteva servisni paket SP2 in zbirno posodobitev 2 ali novejšo različico.

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno 2 TB, če želite bazo podatkov zagnati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno 2 TB, če želite bazo podatkov zagnati dlje časa, ne da bi morali povečati prostor za shranjevanje)

                                                                                                                                                  Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom zbirke podatkov:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Gonilnik Postgres JDBC 42.2.5

                                                                                                                                                  Gonilnik SQL Server JDBC 4.6

                                                                                                                                                  Ta različica gonilnika podpira SQL Server Always On ( vedno vklopljeni, primerki gruče za preklop pri izpadu in Vednovklopljeni).

                                                                                                                                                  Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server

                                                                                                                                                  Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do zbirke podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

                                                                                                                                                  • Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.

                                                                                                                                                  • Račun Windows, ki ga vnesete vozliščem HDS, mora imeti dostop za branje/pisanje v zbirko podatkov.

                                                                                                                                                  • Strežniki DNS, ki jih posredujete vozliščem HDS, morajo biti sposobni razrešiti središče za distribucijo ključev (KDC).

                                                                                                                                                  • Primerek zbirke podatkov HDS lahko registrirate v strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezaveKerberos.

                                                                                                                                                    Orodje za namestitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do zbirke podatkov shrambe ključev uporabiti preverjanje pristnosti sistema Windows. S podrobnostmi iz konfiguracije ISO ustvarijo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

                                                                                                                                                  Zahteve za zunanjo povezljivost

                                                                                                                                                  Požarni zid konfigurirajte tako, da omogoča to povezljivost za programe HDS:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Luka

                                                                                                                                                  Navodila iz aplikacije

                                                                                                                                                  Cilj

                                                                                                                                                  Vozlišča hibridne varnosti podatkov

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni HTTPS in WSS

                                                                                                                                                  • Strežniki Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • Drugi URL-ji, ki so navedeni za hibridno varnost podatkov v tabeli Dodatni URL-ji za hibridne storitve Webex v omrežnih zahtevah za storitve Webex

                                                                                                                                                  Orodje za nastavitev HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odhodni protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Vsi gostitelji skupne identitete

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Vozlišča hibridne varnosti podatkov delujejo s prevajanjem dostopa do omrežja (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave s cilji domene v prejšnji tabeli. Za povezave, ki prihajajo do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V podatkovnem središču odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za skrbniške namene.

                                                                                                                                                  URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

                                                                                                                                                  Regija

                                                                                                                                                  Skupni URL-ji gostitelja identitete

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahteve za strežnik proxy

                                                                                                                                                  • Uradno podpiramo naslednje rešitve proxy, ki jih je mogoče integrirati z vašimi vozlišči za hibridno varnost podatkov.

                                                                                                                                                    • Pregleden proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy - lignji.


                                                                                                                                                       

                                                                                                                                                      Proxy lignjev, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocketa (wss:) Povezave. Če se želite izogniti tej težavi, glejte Konfiguracija strežnikov proxy lignjev za hibridno varnostpodatkov.

                                                                                                                                                  • Podpiramo te kombinacije vrst preverjanja pristnosti za eksplicitne proxyje:

                                                                                                                                                    • Brez preverjanja pristnosti s protokolom HTTP ali HTTPS

                                                                                                                                                    • Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS

                                                                                                                                                    • Povzetek preverjanja pristnosti samo s protokolom HTTPS

                                                                                                                                                  • Za pregleden pregledni strežnik proxy ali eksplicitni strežnik proxy HTTPS morate imeti kopijo korenskega potrdila strežnika proxy. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v shrambe zaupanja vozlišč Hybrid Data Security.

                                                                                                                                                  • Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da vsiljuje odhodni promet TCP na vratih 443 za usmerjanje prek strežnika proxy.

                                                                                                                                                  • Strežniki proxy, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, zaobide (ne pregleduje) promet wbx2.com in ciscospark.com bo rešil težavo.

                                                                                                                                                  Izpolnite predpogoje za hibridno varnost podatkov

                                                                                                                                                  S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo gruče hibridne varnosti podatkov.
                                                                                                                                                  1

                                                                                                                                                  Prepričajte se, da je vaša organizacija Webex omogočena za paket Pro za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali upravitelja računa.

                                                                                                                                                  2

                                                                                                                                                  Izberite ime domene za uvedbo HDS (na primer hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vmesna potrdila. Veriga potrdil mora izpolnjevati zahteve v zahtevahza potrdilo X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v razdelku Zahteveza virtualnega gostitelja.

                                                                                                                                                  4

                                                                                                                                                  Pripravite strežnik zbirke podatkov, ki bo deloval kot shramba ključnih podatkov za gručo v skladu z zahtevamistrežnika zbirke podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z navideznimi gostitelji.

                                                                                                                                                  1. Ustvarite zbirko podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti – ne uporabljajte privzete zbirke podatkov. Ko so nameščeni programi HDS, ustvarijo shemo zbirke podatkov.)

                                                                                                                                                  2. Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom zbirke podatkov:

                                                                                                                                                    • ime gostitelja ali naslov IP (gostitelj) in vrata

                                                                                                                                                    • Ime zbirke podatkov (DBNAME) za shranjevanje ključev

                                                                                                                                                    • uporabniško ime in geslo uporabnika z vsemi pravicami v zbirki podatkov za shranjevanje ključev

                                                                                                                                                  5

                                                                                                                                                  Za hitro obnovitev po katastrofi nastavite okolje za varnostno kopiranje v drugem podatkovnem centru. Okolje za varnostno kopiranje odraža proizvodno okolje VM-jev in strežnika baze podatkov za varnostne kopije. Če ima na primer produkcija 3 virtualne računalnike, v katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike.

                                                                                                                                                  6

                                                                                                                                                  Nastavite gostitelja syslog za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata syslog (privzeto je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Ustvarite varno varnostno kopiranje za vozlišča hibridne varnosti podatkov, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti nepopravljivo izgubo podatkov, morate varnostno kopirati zbirko podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča hibridne varnosti podatkov.


                                                                                                                                                   

                                                                                                                                                  Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo za šifriranje in dešifriranje vsebine, bo neuspeh pri vzdrževanju operativne uvedbe povzročil NEPOPRAVLJIVO IZGUBO te vsebine.

                                                                                                                                                  Odjemalci aplikacije Webex predpomnijo svoje ključe, zato izpad morda ne bo takoj opazen, vendar bo sčasoma postal očiten. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče obnoviti. Vendar pa bo popolna izguba (varnostne kopije niso na voljo) zbirke podatkov ali konfiguracijske datoteke ISO povzročila neobnovljive podatke strank. Od operaterjev vozlišč hibridne varnosti podatkov se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter bili pripravljeni na obnovo podatkovnega centra Hybrid Data Security, če pride do katastrofalne napake.

                                                                                                                                                  8

                                                                                                                                                  Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridne varnosti podatkov, kot je opisano v razdelku Zahteveza zunanjo povezljivost.

                                                                                                                                                  9

                                                                                                                                                  Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bitni ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

                                                                                                                                                  Z Dockerjevim primerkom lahko prenesete in zaženete orodje za namestitev HDS, ki ustvari informacije o lokalni konfiguraciji za vsa vozlišča hibridne varnosti podatkov. Vaša organizacija bo morda potrebovala licenco za Docker Desktop. Za več informacij glejte Zahteve za namizje Dockerja.

                                                                                                                                                  Če želite namestiti in zagnati orodje za namestitev HDS, mora imeti lokalni računalnik povezljivost, opisano v razdelku Zahteve zazunanjo povezljivost.

                                                                                                                                                  10

                                                                                                                                                  Če integrirate proxy s hibridno varnostjo podatkov, se prepričajte, da izpolnjuje zahteveza strežnik proxy.

                                                                                                                                                  11

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Preskusna skupina ima lahko do 250 uporabnikov. To HdsTrialGroup Predmet mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski predmet, ga izberite v meniju Konfiguracija > izbira predmeta povezovalnika imenika . (Za podrobna navodila glejteVodnik za uvajanje Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Tipke za dani prostor nastavi ustvarjalec prostora. Pri izbiri pilotnih uporabnikov upoštevajte, da če se odločite za trajno deaktivacijo uvedbe hibridne varnosti podatkov, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko aplikacije uporabnikov osvežijo svoje predpomnjene kopije vsebine.

                                                                                                                                                  Vzpostavitev hibridne gruče za varnost podatkov

                                                                                                                                                  Potek opravila uvedbe hibridne varnosti podatkov

                                                                                                                                                  Preden začnete

                                                                                                                                                  Pripravite svoje okolje

                                                                                                                                                  1

                                                                                                                                                  Prenos namestitvenih datotek

                                                                                                                                                  Prenesite datoteko OVA v lokalni računalnik za poznejšo uporabo.

                                                                                                                                                  2

                                                                                                                                                  Ustvarjanje konfiguracijskega ISO za gostitelje HDS

                                                                                                                                                  Z orodjem za namestitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Namestitev OVA gostitelja HDS

                                                                                                                                                  Ustvarite navidezni računalnik iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Ta možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  4

                                                                                                                                                  Nastavitev hibridnega varnostnega računalniškega računalnika

                                                                                                                                                  Vpišite se v konzolo VM in nastavite poverilnice za vpis. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.

                                                                                                                                                  5

                                                                                                                                                  Naložite in namestite konfiguracijski ISO HDS

                                                                                                                                                  Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfiguracija vozlišča HDS za integracijo strežnika proxy

                                                                                                                                                  Če omrežno okolje zahteva konfiguracijo strežnika proxy, določite vrsto strežnika proxy, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo strežnika proxy v shrambo zaupanja.

                                                                                                                                                  7

                                                                                                                                                  Registracija prvega vozlišča v gruči

                                                                                                                                                  Registrirajte VM v oblaku Cisco Webex kot vozlišče za hibridno varnost podatkov.

                                                                                                                                                  8

                                                                                                                                                  Ustvarjanje in registracija več vozlišč

                                                                                                                                                  Dokončajte nastavitev gruče.

                                                                                                                                                  9

                                                                                                                                                  Zaženite preskusno različico in premaknite v produkcijo (naslednje poglavje)

                                                                                                                                                  Dokler ne začnete preskusne različice, vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Prenos namestitvenih datotek

                                                                                                                                                  V tem opravilu prenesete datoteko OVA v računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča hibridne varnosti podatkov). To datoteko uporabite pozneje v postopku namestitve.
                                                                                                                                                  1

                                                                                                                                                  Vpišite se v https://admin.webex.comin kliknite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridne storitve poiščite kartico Hibridna varnost podatkov in kliknite Nastavi .

                                                                                                                                                  Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA lahko kadar koli prenesete tudi iz razdelka Pomoč na strani Nastavitve . Na kartici Hibridna varnost podatkov kliknite Uredi nastavitve , da odprete stran. Nato v razdelku Pomoč kliknite Prenesi programsko opremo za hibridno varnost podatkov.


                                                                                                                                                   

                                                                                                                                                  Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami hibridne varnosti podatkov. To lahko povzroči težave pri nadgradnji aplikacije. Prenesite najnovejšo različico datoteke OVA.

                                                                                                                                                  3

                                                                                                                                                  Izberite Ne, da označite, da vozlišča še niste nastavili, in nato kliknite Naprej .

                                                                                                                                                  Datoteka OVA se samodejno začne prenašati. Shranite datoteko na mesto v računalniku.
                                                                                                                                                  4

                                                                                                                                                  Po želji kliknite Odpri vodnik za uvajanje, da preverite, ali je na voljo novejša različica tega priročnika.

                                                                                                                                                  Ustvarjanje konfiguracijskega ISO za gostitelje HDS

                                                                                                                                                  Postopek namestitve hibridne varnosti podatkov ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja hibridne varnosti podatkov.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v 5. koraku . V tej tabeli so navedene nekatere možne okoljske spremenljivke:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP proxy brez preverjanja pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy brez preverjanja pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s preverjanjem pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s preverjanjem pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira zbirko podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, na primer:

                                                                                                                                                    • Poverilnice zbirke podatkov

                                                                                                                                                    • Posodobitve potrdil

                                                                                                                                                    • Spremembe pravilnika o avtorizaciji

                                                                                                                                                  • Če nameravate šifrirati povezave zbirke podatkov, nastavite uvajanje PostgreSQL ali SQL Server za TLS.

                                                                                                                                                  1

                                                                                                                                                  V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  S tem korakom počistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2

                                                                                                                                                  Če se želite vpisati v register slik Dockerja, vnesite to:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  V poziv za geslo vnesite to razpršitev:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Prenesite najnovejšo stabilno sliko za svoje okolje:

                                                                                                                                                  V običajnih okoljih:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V okoljih FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                  • V običajnih okoljih brez proxyja:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V običajnih okoljih s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V okoljih FedRAMP brez strežnika proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z localhostom.

                                                                                                                                                  Uporabite spletni brskalnik, da pojdite na lokalno gostiteljstvo, http://127.0.0.1:8080 in v pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

                                                                                                                                                  Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za vpis.

                                                                                                                                                  7

                                                                                                                                                  Ko ste pozvani, vnesite poverilnice za vpis skrbnika stranke Control Hub in nato kliknite Prijava, da omogočite dostop do zahtevanih storitev za hibridno varnost podatkov.

                                                                                                                                                  8

                                                                                                                                                  Na strani Pregled orodja za namestitev kliknite Uvod.

                                                                                                                                                  9

                                                                                                                                                  Na strani Uvoz ISO so na voljo te možnosti:

                                                                                                                                                  • Ne– če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
                                                                                                                                                  • Da– če ste že ustvarili vozlišča HDS, izberite datoteko ISO v brskanju in jo naložite.
                                                                                                                                                  10

                                                                                                                                                  Preverite, ali potrdilo X.509 izpolnjuje zahteve v razdelku Zahteveza potrdilo X.509.

                                                                                                                                                  • Če potrdila še niste prenesli, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  • Če je potrdilo v redu, kliknite Nadaljuj.
                                                                                                                                                  • Če je potrdilo poteklo ali ga želite zamenjati, izberite Ne za Nadaljujte z uporabo verige potrdil HDS in zasebnega ključa iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
                                                                                                                                                  11

                                                                                                                                                  Vnesite naslov zbirke podatkov in račun za HDS za dostop do vašega ključnega shrambe podatkov:

                                                                                                                                                  1. Izberite vrsto zbirke podatkov (PostgreSQL ali Microsoft SQL Server).

                                                                                                                                                    Če izberete Microsoft SQL Server, se prikaže polje »Vrsta preverjanja pristnosti«.

                                                                                                                                                  2. (Samo Microsoft SQL Server ) Izberite vrsto preverjanjapristnosti:

                                                                                                                                                    • Osnovno preverjanjepristnosti: V polju Uporabniško ime potrebujete ime lokalnega računa strežnika SQL Server.

                                                                                                                                                    • Preverjanjepristnosti sistema Windows: Potrebujete račun Windows v obliki zapisa username@DOMAIN v polju Uporabniško ime .

                                                                                                                                                  3. V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ali 198.51.100.17:1433

                                                                                                                                                    Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

                                                                                                                                                    Če uporabljate preverjanje pristnosti sistema Windows, morate v obliki zapisa vnesti polno določeno ime domene dbhost.example.org:1433

                                                                                                                                                  4. Vnesite imezbirke podatkov.

                                                                                                                                                  5. Vnesite uporabniško ime in geslo uporabnika z vsemi pravicami v zbirki podatkov za shranjevanje ključev.

                                                                                                                                                  12

                                                                                                                                                  Izberite načinpovezave z zbirko podatkov TLS:

                                                                                                                                                  Naèin

                                                                                                                                                  Opis

                                                                                                                                                  Prednost TLS (privzeta možnost)

                                                                                                                                                  Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom zbirke podatkov. Če omogočite TLS v strežniku zbirke podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

                                                                                                                                                  Zahtevajte TLS

                                                                                                                                                  Vozlišča HDS se povežejo le, če se strežnik zbirke podatkov lahko pogaja o protokolu TLS.

                                                                                                                                                  Zahtevanje TLS in preverjanje podpisnika potrdila


                                                                                                                                                   

                                                                                                                                                  Ta način ne velja za zbirke podatkov strežnika SQL Server.

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se strežnik zbirke podatkov lahko pogaja o protokolu TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdiluzbirke podatkov. Če se ne ujemajo, vozlišče prekine povezavo.

                                                                                                                                                  Uporabite kontrolnik korenskega potrdila zbirke podatkov pod spustnim seznamom, da prenesete korensko potrdilo za to možnost.

                                                                                                                                                  Zahtevajte TLS in preverite podpisnika potrdila in ime gostitelja

                                                                                                                                                  • Vozlišča HDS se povežejo le, če se strežnik zbirke podatkov lahko pogaja o protokolu TLS.

                                                                                                                                                  • Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdiluzbirke podatkov. Če se ne ujemajo, vozlišče prekine povezavo.

                                                                                                                                                  • Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v polju Gostitelj zbirke podatkov in vrata . Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

                                                                                                                                                  Uporabite kontrolnik korenskega potrdila zbirke podatkov pod spustnim seznamom, da prenesete korensko potrdilo za to možnost.

                                                                                                                                                  Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje za namestitev HDS preskusi povezavo TLS s strežnikom zbirke podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če preskus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, tudi če je naprava HDS Setup Tool ne more uspešno preizkusiti.)

                                                                                                                                                  13

                                                                                                                                                  Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

                                                                                                                                                  1. Vnesite URL strežnika syslog.

                                                                                                                                                    Če strežnika ni mogoče razločiti z DNS iz vozlišč za gručo HDS, uporabite naslov IP v URL-ju.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
                                                                                                                                                  2. Če ste strežnik nastavili tako, da uporablja šifriranje TLS, potrdite polje Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

                                                                                                                                                    Če potrdite to polje, se prepričajte, da ste vnesli URL TCP, na primer tcp://10.92.43.23:514.

                                                                                                                                                  3. Na spustnem meniju Izberi prekinitev zapisa syslog izberite ustrezno nastavitev za datoteko ISO: Izbira ali Nova vrstica se uporablja za Graylog in Rsyslog TCP

                                                                                                                                                    • Ničelni bajt -- \x00

                                                                                                                                                    • Nova vrstica -- \n– Izberite to izbiro za Graylog in Rsyslog TCP.

                                                                                                                                                  4. Kliknite Nadaljuj.

                                                                                                                                                  14

                                                                                                                                                  (Neobvezno) Privzeto vrednost za nekatere parametre povezave z zbirko podatkov lahko spremenite v naprednih nastavitvah. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite Nadaljuj na zaslonu Ponastavi geslo za storitvene račune.

                                                                                                                                                  Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko se gesla bližajo izteku veljavnosti ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknite Prenesi datotekoISO. Shranite datoteko na mesto, ki ga je enostavno najti.

                                                                                                                                                  17

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu.

                                                                                                                                                  Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo.

                                                                                                                                                  18

                                                                                                                                                  Če želite zaustaviti orodje za namestitev, vnesite CTRL+C.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spremembe konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz zbirke podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.


                                                                                                                                                   

                                                                                                                                                  Nikoli nimamo kopije tega ključa in ne moremo pomagati, če ga izgubite.

                                                                                                                                                  Namestitev OVA gostitelja HDS

                                                                                                                                                  S tem postopkom ustvarite navidezni računalnik iz datoteke OVA.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navideznega gostitelja ESXi.

                                                                                                                                                  2

                                                                                                                                                  Izberite Datoteka > Uvedi predlogoOVF.

                                                                                                                                                  3

                                                                                                                                                  V čarovniku določite mesto datoteke OVA, ki ste jo prej prenesli, in kliknite Naprej .

                                                                                                                                                  4

                                                                                                                                                  Na strani Izberite ime in mapo vnesite ime navideznega računalnika za vozlišče (na primer »HDS_Node_1«), izberite mesto, kjer se lahko nahaja uvedba vozlišča navideznega računalnika, in nato kliknite Naprej.

                                                                                                                                                  5

                                                                                                                                                  Na strani Izberite računalniški vir izberite ciljni računalniški vir in nato kliknite Naprej.

                                                                                                                                                  Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

                                                                                                                                                  6

                                                                                                                                                  Preverite podrobnosti predloge in kliknite Naprej .

                                                                                                                                                  7

                                                                                                                                                  Če ste pozvani, da izberete konfiguracijo vira na strani Konfiguracija , kliknite 4 CPU in nato Naprej.

                                                                                                                                                  8

                                                                                                                                                  Na strani Izberi prostor za shranjevanje kliknite Naprej , da sprejmete privzeto obliko zapisa diska in pravilnik o shrambi v virtualnem računalniku.

                                                                                                                                                  9

                                                                                                                                                  Na strani Izberi omrežja na seznamu vnosov izberite možnost omrežja, da zagotovite želeno povezljivost z virtualnim računalnikom.

                                                                                                                                                  10

                                                                                                                                                  Na strani Prilagajanje predloge konfigurirajte te omrežne nastavitve:

                                                                                                                                                  • Imegostitelja – vnesite FQDN (ime gostitelja in domena) ali eno besedno ime gostitelja za vozlišče.

                                                                                                                                                     
                                                                                                                                                    • Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                    • Če želite zagotoviti uspešno registracijo v oblaku, uporabite le male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Velike črke trenutno niso podprte.

                                                                                                                                                    • Skupna dolžina FQDN ne sme presegati 64 znakov.

                                                                                                                                                  • NaslovIP— Vnesite naslov IP za notranji vmesnik vozlišča.

                                                                                                                                                     

                                                                                                                                                    Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  • Maska– vnesite naslov maske podomrežja v decimalnem zapisu. Na primer, 255.255.255.0.
                                                                                                                                                  • Prehod– vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
                                                                                                                                                  • StrežnikiDNS – vnesite seznam strežnikov DNS, ločenih z vejico, ki obravnavajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
                                                                                                                                                  • StrežnikiNTP – vnesite strežnik NTP organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v organizaciji. Privzeti strežniki NTP morda ne bodo delovali za vsa podjetja. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejico.
                                                                                                                                                  • Uvedite vsa vozlišča v istem podomrežju ali omrežju VLAN, tako da bodo vsa vozlišča v gruči dostopna od odjemalcev v omrežju za skrbniške namene.

                                                                                                                                                  Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v razdelku Nastavitev hibridnega varnostnega računalniškega računalnika , da konfigurirate nastavitve v konzoli vozlišča.


                                                                                                                                                   

                                                                                                                                                  Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Ta možnost morda ni na voljo v starejših različicah.

                                                                                                                                                  11

                                                                                                                                                  Z desno tipko miške kliknite vozlišče VM in nato izberite Power > Power On.

                                                                                                                                                  Programska oprema za hibridno varnost podatkov je nameščena kot gost na gostitelju VM. Zdaj se lahko vpišete v konzolo in konfigurirate vozlišče.

                                                                                                                                                  Nasveti za odpravljanje težav

                                                                                                                                                  Morda boste doživeli nekaj minutno zamudo, preden se prikažejo zabojniki vozlišč. Med prvim zagonom, med katerim se ne morete vpisati, se v konzoli prikaže sporočilo požarnega zidu mostu.

                                                                                                                                                  Nastavitev hibridnega varnostnega računalniškega računalnika

                                                                                                                                                  S tem postopkom se lahko prvič vpišete v konzolo virtualnega računalnika vozlišča Hybrid Data Security in nastavite poverilnice za vpis. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali v času uvedbe OVA.

                                                                                                                                                  1

                                                                                                                                                  V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite zavihek Konzola .

                                                                                                                                                  VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite tipko Enter.
                                                                                                                                                  2

                                                                                                                                                  Za vpis in spreminjanje poverilnic uporabite to privzeto uporabniško ime in geslo:

                                                                                                                                                  1. Prijavo: admin

                                                                                                                                                  2. Geslo: cisco

                                                                                                                                                  Ker se prvič vpišete v VM, morate spremeniti skrbniško geslo.

                                                                                                                                                  3

                                                                                                                                                  Če ste že konfigurirali omrežne nastavitve v razdelku Namestitev gostitelja HDS OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Uredi konfiguracijo .

                                                                                                                                                  4

                                                                                                                                                  Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.

                                                                                                                                                  5

                                                                                                                                                  (Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnike NTP, da se ujemajo z vašim omrežnim pravilnikom.

                                                                                                                                                  Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.

                                                                                                                                                  6

                                                                                                                                                  Shranite konfiguracijo omrežja in znova zaženite VM, da bodo spremembe začele veljati.

                                                                                                                                                  Naložite in namestite konfiguracijski ISO HDS

                                                                                                                                                  S tem postopkom konfigurirajte navidezni računalnik iz datoteke ISO, ki ste jo ustvarili z namestitvenim orodjem HDS.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Ker je v datoteki ISO glavni ključ, bi moral biti izpostavljen le na podlagi »potrebe po seznanitvi« za dostop do hibridnih varnostnih podatkovnih računalnikov in skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da lahko do shrambe podatkov dostopajo le ti skrbniki.

                                                                                                                                                  1

                                                                                                                                                  Naložite datoteko ISO iz računalnika:

                                                                                                                                                  1. V levem podoknu za krmarjenje odjemalca VMware vSphere kliknite strežnik ESXi.

                                                                                                                                                  2. Na seznamu Strojna oprema na zavihku Konfiguracija kliknite Prostor za shranjevanje.

                                                                                                                                                  3. Na seznamu Shrambe podatkov z desno tipko miške kliknite shrambo podatkov za virtualne računalnike in kliknite Prebrskaj shrambopodatkov.

                                                                                                                                                  4. Kliknite ikono Naloži datoteke in nato Prenesi datoteko.

                                                                                                                                                  5. Poiščite mesto, kamor ste prenesli datoteko ISO v računalnik, in kliknite Odpri .

                                                                                                                                                  6. Kliknite Da , da sprejmete opozorilo o postopku prenosa/prenosa, in zaprite pogovorno okno za shranjevanje podatkov.

                                                                                                                                                  2

                                                                                                                                                  Namestite datoteko ISO:

                                                                                                                                                  1. V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  2. Kliknite V redu , da sprejmete opozorilo o omejenih možnostih urejanja.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1 izberite možnost namestitve iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Preverite Connected and Connect (Priključi) ob vklopu.

                                                                                                                                                  5. Shranite spremembe in znova zaženite navidezni stroj.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.

                                                                                                                                                  Konfiguracija vozlišča HDS za integracijo strežnika proxy

                                                                                                                                                  Če omrežno okolje zahteva strežnik proxy, s tem postopkom določite vrsto strežnika proxy, ki ga želite integrirati s hibridno varnostjo podatkov. Če izberete pregleden proxy za pregledovanje ali eksplicitni strežnik proxy HTTPS, lahko uporabite vmesnik vozlišča za prenos in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi iz vmesnika in odpravite morebitne težave.

                                                                                                                                                  Preden začnete

                                                                                                                                                  1

                                                                                                                                                  Vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP or FQDN]/setup v spletnem brskalniku vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in kliknite Vpis.

                                                                                                                                                  2

                                                                                                                                                  Pojdite na Trust Store & Proxyin nato izberite možnost:

                                                                                                                                                  • Brez strežnika proxy– privzeta možnost pred integracijo strežnika proxy. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Pregleden strežnik proxy, ki ne pregleduje – vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delovanje s strežnikom proxy, ki ne pregleduje. Posodobitev potrdila ni potrebna.
                                                                                                                                                  • Pregleden pregled strežnika proxy– vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Pri uvajanju hibridne varnosti podatkov niso potrebne spremembe konfiguracije protokola HTTPS, vendar vozlišča HDS potrebujejo korensko potrdilo, da zaupajo strežniku proxy. Pregledovanje strežnikov proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
                                                                                                                                                  • Eksplicitni strežnik proxy– z eksplicitnim strežnikom proxy odjemalcu (vozliščem HDS) poveste, kateri strežnik proxy naj uporabi, ta možnost pa podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti te podatke:
                                                                                                                                                    1. IP/FQDNstrežnika proxy – naslov, s katerim lahko vzpostavite povezavo s proxyjem.

                                                                                                                                                    2. Vrataproxy – številka vrat, ki jih strežnik proxy uporablja za poslušanje prometa proxy.

                                                                                                                                                    3. Protokolproxy – izberite http (ogleduje in nadzoruje vse zahteve, ki jih prejme od odjemalca) ali https (zagotavlja kanal strežniku, odjemalec pa prejme in preveri veljavnost potrdila strežnika). Izberite možnost, ki temelji na tem, kaj podpira vaš strežnik proxy.

                                                                                                                                                    4. Vrstapreverjanja pristnosti – izberite eno od teh vrst preverjanja pristnosti:

                                                                                                                                                      • Brez– nadaljnja preverjanja pristnosti ni potrebna.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                      • Osnovno– uporablja se za uporabniškega agenta HTTP za vnos uporabniškega imena in gesla pri zahtevi. Uporablja kodiranje Base64.

                                                                                                                                                        Na voljo za strežnike proxy HTTP ali HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                      • Povzetek– uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi razpršilno funkcijo za uporabniško ime in geslo pred pošiljanjem prek omrežja.

                                                                                                                                                        Na voljo samo za strežnike HTTPS.

                                                                                                                                                        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

                                                                                                                                                  Sledite naslednjim korakom za pregledno pregledovanje strežnika proxy, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni strežnik proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknite Prenesi korensko potrdilo ali Potrdilokončne entitete in se pomaknite do možnosti Izberite korensko potrdilo za strežnik proxy.

                                                                                                                                                  Potrdilo je naloženo, vendar še ni nameščeno, ker morate znova zagnati vozlišče, če želite namestiti potrdilo. Kliknite puščico škarnice ob imenu izdajatelja potrdila, če želite pridobiti več podrobnosti, ali kliknite Izbriši , če ste naredili napako in želite znova naložiti datoteko.

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preveri povezavo s strežnikom proxy, da preizkusite omrežno povezljivost med vozliščem in strežnikom proxy.

                                                                                                                                                  Če preskus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in način odpravljanja težave.

                                                                                                                                                  Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Z namestitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega razreševanja DNS. Če menite, da gre za napako, dokončajte ta navodila in nato glejte Izklop načinablokiranega zunanjega razreševanja DNS.

                                                                                                                                                  5

                                                                                                                                                  Ko preskus povezave opravi, za eksplicitni strežnik proxy, nastavljen samo na https, vklopite stikalo na Usmerjanje vseh zahtev https vrat 443/444 iz tega vozlišča prek eksplicitnega strežnika proxy. Ta nastavitev traja 15 sekund, da začne veljati.

                                                                                                                                                  6

                                                                                                                                                  Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni strežnik proxy HTTPS ali pregleden strežnik proxy) ali Znova zaženi ( prikaže se za eksplicitni strežnik proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni.

                                                                                                                                                  Vozlišče se znova zažene v nekaj minutah.

                                                                                                                                                  7

                                                                                                                                                  Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite stran Pregled , da preverite preverjanje povezljivosti in se prepričajte, da so vsi v zelenem stanju.

                                                                                                                                                  Preverjanje povezave proxy preizkuša samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v strežniku proxy.

                                                                                                                                                  Registracija prvega vozlišča v gruči

                                                                                                                                                  To opravilo prevzame splošno vozlišče, ki ste ga ustvarili v nastavitvi hibridnega računalniškega računalnikaza varnost podatkov, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče hibridne varnosti podatkov.

                                                                                                                                                  Ko registrirate prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Gruča vsebuje eno ali več vozlišč, ki so nameščena za zagotavljanje redundance.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vpišite se v https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V meniju na levi strani zaslona izberite Storitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavi.

                                                                                                                                                  Prikaže se stran Registracija vozlišča za varnost hibridnih podatkov.
                                                                                                                                                  4

                                                                                                                                                  Izberite Da, da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Naprej .

                                                                                                                                                  5

                                                                                                                                                  V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hibridna varnost podatkov.

                                                                                                                                                  Priporočamo, da gručo poimenujete glede na to, kje so vozlišča gruče geografsko nameščena. Primeri: "San Francisco" ali "New York" ali "Dallas"

                                                                                                                                                  6

                                                                                                                                                  V drugo polje vnesite notranji naslov IP ali popolnoma določeno ime domene (FQDN) vašega vozlišča in kliknite Naprej .

                                                                                                                                                  Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili v razdelku Nastavitev hibridnega računalniškega računalnikaza varnost podatkov.

                                                                                                                                                  Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite Pojdi na vozlišče.

                                                                                                                                                  8

                                                                                                                                                  V opozorilnem sporočilu kliknite Nadaljuj .

                                                                                                                                                  Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji Webex podeliti dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  9

                                                                                                                                                  Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj.

                                                                                                                                                  Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security.

                                                                                                                                                  Na strani Hibridna varnost podatkov je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

                                                                                                                                                  Ustvarjanje in registracija več vozlišč

                                                                                                                                                  Če želite v gručo dodati dodatna vozlišča, preprosto ustvarite dodatne virtualne računalnike in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

                                                                                                                                                   

                                                                                                                                                  Trenutno so varnostni virtualni računalniki, ki ste jih ustvarili v razdelku Dokončanje predpogojev za hibridno varnost podatkov, gostitelji v stanju pripravljenosti, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Če želite podrobnosti, glejte Obnovitev po katastrofi z uporabo podatkovnega središčav stanju pripravljenosti.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Ko začnete registracijo vozlišča, ga morate dokončati v 60 minutah ali pa morate začeti znova.

                                                                                                                                                  • Prepričajte se, da so vsi blokatorji pojavnih oken v brskalniku onemogočeni ali da dovolite izjemo za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Ustvarite nov navidezni računalnik iz OVA in ponovite korake v razdelku Namestitev OVAgostitelja HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavite začetno konfiguracijo v novem virtualnem računalniku in ponovite korake v razdelku Nastavitev hibridnega varnostnega računalnikapodatkov.

                                                                                                                                                  3

                                                                                                                                                  V novem virtualnem računalniku ponovite korake v razdelku Prenos in namestitev ISOkonfiguracije HDS.

                                                                                                                                                  4

                                                                                                                                                  Če nastavljate strežnik proxy za uvedbo, ponovite korake v razdelku Konfiguracija vozlišča HDS za integracijo strežnika proxy, kot je potrebno za novo vozlišče.

                                                                                                                                                  5

                                                                                                                                                  Registrirajte vozlišče.

                                                                                                                                                  1. V meniju https://admin.webex.comna levi strani zaslona izberite Storitve .

                                                                                                                                                  2. V razdelku Hibridne storitve poiščite kartico Hibridna varnost podatkov in kliknite Viri.

                                                                                                                                                    Prikaže se stran Viri za varnost hibridnih podatkov.
                                                                                                                                                  3. Kliknite Dodaj vir.

                                                                                                                                                  4. V prvem polju izberite ime obstoječe gruče.

                                                                                                                                                  5. V drugo polje vnesite notranji naslov IP ali popolnoma določeno ime domene (FQDN) vašega vozlišča in kliknite Naprej .

                                                                                                                                                    Prikaže se sporočilo, da lahko vozlišče registrirate v oblaku Webex.
                                                                                                                                                  6. Kliknite Pojdi na vozlišče.

                                                                                                                                                    Po nekaj trenutkih ste preusmerjeni na preskuse povezljivosti vozlišč za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovoli dostop do vozlišča za varnost hibridnih podatkov. Tam potrdite, da želite organizaciji podeliti dovoljenja za dostop do vašega vozlišča.
                                                                                                                                                  7. Potrdite polje Dovoli dostop do vozlišča za varnost hibridnih podatkov in kliknite Nadaljuj.

                                                                                                                                                    Vaš račun je preverjen in sporočilo »Registracija je dokončana« pomeni, da je vaše vozlišče zdaj registrirano v oblaku Webex.
                                                                                                                                                  8. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security.

                                                                                                                                                  Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preskusne različice, vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Zaženite preskusno različico in premaknite v produkcijo (naslednje poglavje)
                                                                                                                                                  Izvedite poskusno različico in jo prenesite v produkcijo

                                                                                                                                                  Potek opravila od preskusa do proizvodnje

                                                                                                                                                  Ko nastavite gručo za hibridno varnost podatkov, lahko začnete pilotno izvedbo, vanjo dodate uporabnike in jo začnete uporabljati za preskušanje in preverjanje uvajanja v pripravi na prehod v produkcijo.

                                                                                                                                                  1

                                                                                                                                                  Če je primerno, sinhronizirajte HdsTrialGroup skupinski predmet.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenika za uporabnike, morate izbrati ikono HdsTrialGroup Združite predmet za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiviranje preskusne različice

                                                                                                                                                  Začnite preskusno različico. Dokler ne izvedete te naloge, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Preskusite uvedbo hibridne varnosti podatkov

                                                                                                                                                  Preverite, ali se zahteve za ključe prenašajo na uvedbo hibridne varnosti podatkov.

                                                                                                                                                  4

                                                                                                                                                  Spremljanje stanja varnosti hibridnih podatkov

                                                                                                                                                  Preverite stanje in nastavite e-poštna obvestila za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajanje ali odstranjevanje uporabnikov iz preskusne različice

                                                                                                                                                  6

                                                                                                                                                  Poskusno fazo dokončajte z enim od naslednjih dejanj:

                                                                                                                                                  Aktiviranje preskusne različice

                                                                                                                                                  Preden začnete

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenika za uporabnike, morate izbrati ikono HdsTrialGroup Združite predmet za sinhronizacijo z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Vpišite se v https://admin.webex.comin nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Stanje storitve kliknite Začni preskusno različico.

                                                                                                                                                  Stanje storitve se spremeni v poskusni način.
                                                                                                                                                  4

                                                                                                                                                  Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo pilotno uporabili vozlišča hibridne varnosti podatkov za storitve šifriranja in indeksiranja.

                                                                                                                                                  (Če vaša organizacija uporablja sinhronizacijo imenika, uporabite imenik Active Directory za upravljanje preskusne skupine. HdsTrialGroup.)

                                                                                                                                                  Preskusite uvedbo hibridne varnosti podatkov

                                                                                                                                                  S tem postopkom lahko preizkusite scenarije šifriranja hibridne varnosti podatkov.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Nastavite uvedbo hibridne varnosti podatkov.

                                                                                                                                                  • Aktivirajte preskusno različico in dodajte več uporabnikov preskusne različice.

                                                                                                                                                  • Prepričajte se, da imate dostop do sysloga, da preverite, ali se zahteve za ključe prenašajo na uvedbo hibridne varnosti podatkov.

                                                                                                                                                  1

                                                                                                                                                  Tipke za dani prostor nastavi ustvarjalec prostora. Vpišite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega uporabnika, ki ni pilot.


                                                                                                                                                   

                                                                                                                                                  Če deaktivirate uvedbo hibridne varnosti podatkov, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, ni več dostopna, ko zamenjate kopije šifrirnih ključev, predpomnjene v odjemalcu.

                                                                                                                                                  2

                                                                                                                                                  Pošljite sporočila v nov prostor.

                                                                                                                                                  3

                                                                                                                                                  Preverite izhod syslog in preverite, ali se zahteve za ključ prenašajo v uvedbo hibridne varnosti podatkov.

                                                                                                                                                  1. Če želite preveriti, ali je uporabnik najprej vzpostavil varen kanal za storitev upravljanja ključev, filtrirajte kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Našli bi morali vnos, kot je naslednji (identifikatorji skrajšani zaradi berljivosti):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz storitve upravljanja ključev, filtrirajte po kms.data.method=retrieve in kms.data.type=KEY:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa za upravljanje klikov, filtrirajte kms.data.method=create in kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiteni vir, filtrirajte po kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Morali bi najti vnos, kot je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Spremljanje stanja varnosti hibridnih podatkov

                                                                                                                                                  Indikator stanja v nadzornem središču vam pokaže, ali je vse v redu z uvedbo hibridne varnosti podatkov. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.
                                                                                                                                                  1

                                                                                                                                                  V nadzornem središčuizberite Storitve v meniju na levi strani zaslona.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve.

                                                                                                                                                  Prikaže se stran Hibridne nastavitve varnosti podatkov.
                                                                                                                                                  3

                                                                                                                                                  V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite tipko Enter.

                                                                                                                                                  Dodajanje ali odstranjevanje uporabnikov iz preskusne različice

                                                                                                                                                  Ko aktivirate preskusno različico in dodate začetni nabor uporabnikov preskusne različice, lahko dodate ali odstranite preskusne člane kadar koli, ko je preskusna različica aktivna.

                                                                                                                                                  Če odstranite uporabnika iz preskusne različice, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključev iz storitve upravljanja virov v oblaku namesto iz storitve »Upravljanje ključev«. Če odjemalec potrebuje ključ, ki je shranjen v vašem sistemu »Upravljanje ključev«, ga bo storitev »Upravljanje omrežij« v oblaku prevzela v imenu uporabnika.

                                                                                                                                                  Če vaša organizacija uporablja sinhronizacijo imenika, uporabite imenik Active Directory (namesto tega postopka) za upravljanje preskusne skupine, HdsTrialGroup; Člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

                                                                                                                                                  1

                                                                                                                                                  Vpišite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Preskusni način v območju Stanje storitve kliknite Dodaj uporabnike ali kliknite Ogledin uredi , da odstranite uporabnike iz preskusne različice.

                                                                                                                                                  4

                                                                                                                                                  Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X pri ID-ju uporabnika, da odstranite uporabnika iz preskusne različice. Nato kliknite Shrani.

                                                                                                                                                  Prehod iz preskusne v produkcijsko

                                                                                                                                                  Ko ste prepričani, da vaša uvedba dobro deluje za preskusne uporabnike, se lahko premaknete v produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabili vašo domeno hibridne varnosti podatkov na mestu uporabe za šifrirne ključe in druge varnostne storitve področja. Iz produkcije se ne morete premakniti nazaj v preskusni način, razen če storitev deaktivirate kot del obnovitve po katastrofi. Če želite znova aktivirati storitev, morate nastaviti novo preskusno različico.
                                                                                                                                                  1

                                                                                                                                                  Vpišite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Stanje storitve kliknite Premakni v produkcijo.

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite vse uporabnike premakniti v produkcijo.

                                                                                                                                                  Končajte preskusno različico brez prehoda na produkcijo

                                                                                                                                                  Če se med preskusno različico odločite, da ne boste nadaljevali z uvajanjem hibridne varnosti podatkov, lahko deaktivirate hibridno varnost podatkov, s čimer se preskusna različica konča in preskusne uporabnike premakne nazaj v storitve za varnost podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili šifrirani med preskusno različico.
                                                                                                                                                  1

                                                                                                                                                  Vpišite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2

                                                                                                                                                  V razdelku Hibridna varnost podatkov kliknite Nastavitve.

                                                                                                                                                  3

                                                                                                                                                  V razdelku Deaktiviraj kliknite Deaktiviraj .

                                                                                                                                                  4

                                                                                                                                                  Potrdite, da želite deaktivirati storitev in končati preskusno različico.

                                                                                                                                                  Upravljanje namestitve HDS

                                                                                                                                                  Upravljanje uvajanja HDS

                                                                                                                                                  Uporabite tukaj opisana opravila za upravljanje uvedbe hibridne varnosti podatkov.

                                                                                                                                                  Nastavitev urnika nadgradnje gruče

                                                                                                                                                  Nadgradnje programske opreme za hibridno varnost podatkov se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno uporabljajo isto različico programske opreme. Nadgradnje se izvedejo v skladu z urnikom nadgradnje za gručo. Ko je nadgradnja programske opreme na voljo, lahko ročno nadgradite gručo pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 vsak dan v Združenih državah: Amerika/Los Angeles. Po potrebi lahko tudi preložite prihajajočo nadgradnjo.

                                                                                                                                                  Če želite nastaviti urnik nadgradnje:

                                                                                                                                                  1

                                                                                                                                                  Vpišite se v Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnostpodatkov.

                                                                                                                                                  3

                                                                                                                                                  Na strani Viri za hibridno varnost podatkov izberite gručo.

                                                                                                                                                  4

                                                                                                                                                  Na plošči Pregled na desni strani v razdelku Nastavitve gruče izberite ime gruče.

                                                                                                                                                  5

                                                                                                                                                  Na strani Nastavitve v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje.

                                                                                                                                                  Opomba: V časovnem pasu je prikazan datum in ura naslednje nadgradnje, ki je na voljo. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Preloži .

                                                                                                                                                  Spreminjanje konfiguracije vozlišča

                                                                                                                                                  Občasno boste morda morali spremeniti konfiguracijo vozlišča za hibridno varnost podatkov iz razloga, kot so:
                                                                                                                                                  • Spreminjanje potrdil x.509 zaradi poteka ali drugih razlogov.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

                                                                                                                                                  • Posodabljanje nastavitev zbirke podatkov za spremembo v repliko zbirke podatkov PostgreSQL ali Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje zbirke podatkov, zaženite novo uvedbo hibridne varnosti podatkov.

                                                                                                                                                  • Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

                                                                                                                                                  Hibridna varnost podatkov iz varnostnih razlogov uporablja tudi gesla za račune storitev, ki imajo devetmesečno življenjsko dobo. Ko orodje za namestitev HDS ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije približujejo poteku, prejmete obvestilo skupine Webex, da ponastavite geslo za račun računalnika. (E-poštno sporočilo vsebuje besedilo: »Za posodobitev gesla uporabite API računa računalnika.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

                                                                                                                                                  • Mehka ponastavitev– staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.

                                                                                                                                                  • Trda ponastavitev– stara gesla takoj prenehajo delovati.

                                                                                                                                                  Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, kar zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

                                                                                                                                                  S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.

                                                                                                                                                  Preden začnete

                                                                                                                                                  • Orodje za namestitev HDS deluje kot vsebnik Docker v lokalnem računalniku. Če želite dostopati do njega, zaženite Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

                                                                                                                                                    Če se orodje za namestitev HDS izvaja za strežnikom proxy v vašem okolju, navedite nastavitve strežnika proxy (strežnik, vrata, poverilnice) prek spremenljivk okolja Dockerja, ko odprete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne okoljske spremenljivke:

                                                                                                                                                    Opis

                                                                                                                                                    Spremenljivka

                                                                                                                                                    HTTP proxy brez preverjanja pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy brez preverjanja pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP proxy s preverjanjem pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s preverjanjem pristnosti

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami zbirke podatkov, posodobitvami potrdil ali spremembami pravilnika o avtorizaciji.

                                                                                                                                                  1

                                                                                                                                                  S programom Docker v lokalnem računalniku zaženite orodje za namestitev HDS.

                                                                                                                                                  1. V ukazni vrstici računalnika vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    S tem korakom počistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

                                                                                                                                                  2. Če se želite vpisati v register slik Dockerja, vnesite to:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. V poziv za geslo vnesite to razpršitev:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Prenesite najnovejšo stabilno sliko za svoje okolje:

                                                                                                                                                    V običajnih okoljih:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V okoljih FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Prepričajte se, da ste za ta postopek potegnili najnovejše orodje za namestitev. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

                                                                                                                                                  5. Ko je poteza končana, vnesite ustrezen ukaz za vaše okolje:

                                                                                                                                                    • V običajnih okoljih brez proxyja:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V običajnih okoljih s strežnikom HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V okoljih FedRAMP brez strežnika proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V okoljih FedRAMP s strežnikom proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ko se vsebnik izvaja, se prikaže »Express server listening on door 8080«.

                                                                                                                                                  6. Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z localhostom.

                                                                                                                                                  7. Ko vas računalnik pozove, vnesite poverilnice za vpis stranke v središču Control Hub in nato kliknite Sprejmi za nadaljevanje.

                                                                                                                                                  8. Uvozite datoteko ISO trenutne konfiguracije.

                                                                                                                                                  9. Sledite pozivom, da dokončate orodje in prenesete posodobljeno datoteko.

                                                                                                                                                    Če želite zaustaviti orodje za namestitev, vnesite CTRL+C.

                                                                                                                                                  10. Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem središču.

                                                                                                                                                  2

                                                                                                                                                  Če se izvajasamo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Če želite podrobnejša navodila, glejte Ustvarjanje in registracija več vozlišč.

                                                                                                                                                  1. Namestite OVA gostitelja HDS.

                                                                                                                                                  2. Nastavite VM HDS.

                                                                                                                                                  3. Namestite posodobljeno konfiguracijsko datoteko.

                                                                                                                                                  4. Registrirajte novo vozlišče v nadzornem središču.

                                                                                                                                                  3

                                                                                                                                                  Za obstoječa vozlišča HDS, v katerih se izvaja starejša konfiguracijska datoteka, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

                                                                                                                                                  1. Izklopite navidezni stroj.

                                                                                                                                                  2. V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  3. Kliknite CD/DVD Drive 1, izberite možnost namestitve iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.

                                                                                                                                                  4. Potrdite možnost Vzpostavi povezavo ob vklopu.

                                                                                                                                                  5. Shranite spremembe in vklopite navidezni računalnik.

                                                                                                                                                  4

                                                                                                                                                  Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, v katerem se izvaja stara konfiguracija.

                                                                                                                                                  Izklop načina blokiranega zunanjega razločevanja DNS

                                                                                                                                                  Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

                                                                                                                                                  Če vaša vozlišča lahko razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da znova zaženete preskus povezave proxy na vsakem vozlišču.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Prepričajte se, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vozlišča komunicirajo z njimi.
                                                                                                                                                  1

                                                                                                                                                  V spletnem brskalniku odprite vmesnik vozlišča Hibridna varnost podatkov (naslov/nastavitev IP, na primer, https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Vpis.

                                                                                                                                                  2

                                                                                                                                                  Pojdite na Pregled (privzeta stran).

                                                                                                                                                  Če je omogočeno, je možnost Blokirano zunanje razreševanje DNS nastavljena na Da.

                                                                                                                                                  3

                                                                                                                                                  Pojdite na stran Shramba zaupanja in proxy .

                                                                                                                                                  4

                                                                                                                                                  Kliknite Preveri povezavos strežnikom proxy.

                                                                                                                                                  Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo vzpostaviti povezave s strežnikom DNS in bo ostalo v tem načinu. V nasprotnem primeru mora biti po ponovnem zagonu vozlišča in vrnitvi na stran Pregled možnost Blokirano zunanje razreševanje DNS nastavljena na ne.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Ponovite preskus povezave proxy za vsako vozlišče v gruči Hybrid Data Security.

                                                                                                                                                  Odstranjevanje vozlišča

                                                                                                                                                  S tem postopkom odstranite vozlišče hibridne varnosti podatkov iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni računalnik, da preprečite nadaljnji dostop do varnostnih podatkov.
                                                                                                                                                  1

                                                                                                                                                  Uporabite odjemalca VMware vSphere v računalniku, da se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj.

                                                                                                                                                  2

                                                                                                                                                  Odstranite vozlišče:

                                                                                                                                                  1. Vpišite se v Control Hub in nato izberite Storitve.

                                                                                                                                                  2. Na kartici Hibridna varnost podatkov kliknite Prikaži vse, da prikažete stran Viri hibridne varnosti podatkov.

                                                                                                                                                  3. Izberite skupino, da prikažete ploščo Pregled.

                                                                                                                                                  4. Kliknite Odpri seznamvozlišč.

                                                                                                                                                  5. Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.

                                                                                                                                                  6. Kliknite Dejanja > vozliščePreklic registracije.

                                                                                                                                                  3

                                                                                                                                                  V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

                                                                                                                                                  Če ne izbrišete virtualnega računalnika, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti virtualnega računalnika za dostop do varnostnih podatkov.

                                                                                                                                                  Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti

                                                                                                                                                  Najbolj kritična storitev, ki jo ponuja vaša grozda hibridne varnosti podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridni varnosti podatkov, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Skupina je odgovorna tudi za vračanje ustvarjenih ključev vsem uporabnikom, pooblaščenim za njihovo pridobivanje, na primer članom prostora za pogovor.

                                                                                                                                                  Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča ostane zagnana in da se vzdržujejo ustrezne varnostne kopije. Izguba zbirke podatkov Hybrid Data Security ali konfiguracije ISO, ki se uporablja za shemo, bo povzročila NEPOPRAVLJIVO IZGUBO vsebine stranke. Za preprečitev take izgube so obvezne naslednje prakse:

                                                                                                                                                  Če zaradi nesreče uvedba HDS v primarnem podatkovnem središču ne bo na voljo, sledite temu postopku, da ročno preklopite v podatkovno središče v stanju pripravljenosti.

                                                                                                                                                  1

                                                                                                                                                  Zaženite orodje za namestitev HDS in sledite korakom, navedenim v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraciji strežnika Syslogd kliknite Napredne nastavitve

                                                                                                                                                  3

                                                                                                                                                  Na strani Dodatne nastavitve dodajte spodnjo konfiguracijo ali odstranite ikono passiveMode konfiguracija, da bo vozlišče aktivno. Vozlišče lahko upravlja promet, ko je to konfigurirano.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

                                                                                                                                                  5

                                                                                                                                                  Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo.

                                                                                                                                                  6

                                                                                                                                                  V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve.

                                                                                                                                                  7

                                                                                                                                                  Kliknite Uredi nastavitve >pogon CD/DVD 1 in izberite Datoteka ISO za shranjevanje podatkov.


                                                                                                                                                   

                                                                                                                                                  Prepričajte se, da sta preverjeni možnosti Povezano in Poveži ob vklopu , da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč.

                                                                                                                                                  8

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

                                                                                                                                                  9

                                                                                                                                                  Ponovite postopek za vsako vozlišče v podatkovnem centru v stanju pripravljenosti.


                                                                                                                                                   

                                                                                                                                                  Preverite izhod syslog in preverite, ali vozlišča podatkovnega centra v stanju pripravljenosti niso v pasivnem načinu. »KMS, konfiguriran v pasivnem načinu« ne bi smel biti prikazan v syslogih.

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Če se po preklopu na izpadek primarno podatkovno središče znova aktivira, ga znova preklopite v pasivni način tako, da sledite korakom, opisanim v razdelku Nastavitev podatkovnega centra v stanju pripravljenosti za obnovitevpo katastrofi.

                                                                                                                                                  (Neobvezno) Odstranite ISO po konfiguraciji HDS

                                                                                                                                                  Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO stalno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

                                                                                                                                                  Še vedno uporabljate datoteke ISO za spreminjanje konfiguracije. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom znova odstranite ISO.

                                                                                                                                                  Preden začnete

                                                                                                                                                  Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo različico.

                                                                                                                                                  1

                                                                                                                                                  Izklopite eno od vozlišč HDS.

                                                                                                                                                  2

                                                                                                                                                  V napravi vCenter Server Appliance izberite vozlišče HDS.

                                                                                                                                                  3

                                                                                                                                                  Izberite Uredi nastavitve > pogonu CD/DVD in počistite polje DatotekaISO shrambe podatkov.

                                                                                                                                                  4

                                                                                                                                                  Vklopite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov.

                                                                                                                                                  5

                                                                                                                                                  Ponovite za vsako vozlišče HDS zaporedoma.

                                                                                                                                                  Odpravljanje težav z varnostjo hibridnih podatkov

                                                                                                                                                  Ogled opozoril in odpravljanje težav

                                                                                                                                                  Uvedba hibridne varnosti podatkov se šteje za nedostopno, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva časovni potek. Če uporabniki ne morejo doseči grozde hibridne varnosti podatkov, pride do teh simptomov:

                                                                                                                                                  • Novih presledkov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)

                                                                                                                                                  • Sporočil in naslovov prostorov ni mogoče dešifrirati za:

                                                                                                                                                    • Novi uporabniki, dodani v prostor (ne morejo pridobiti ključev)

                                                                                                                                                    • Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)

                                                                                                                                                  • Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihove stranke imele predpomnilnik šifrirnih ključev

                                                                                                                                                  Pomembno je, da pravilno spremljate gručo hibridne varnosti podatkov in takoj obravnavate morebitna opozorila, da se izognete motnjam storitve.

                                                                                                                                                  Opozorila

                                                                                                                                                  Če pride do težave z nastavitvijo hibridne varnosti podatkov, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfiguriran e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

                                                                                                                                                  Tabela 1. Pogoste težave in koraki za njihovo reševanje

                                                                                                                                                  Opozorilo

                                                                                                                                                  Dejanje

                                                                                                                                                  Napaka pri dostopu do lokalne zbirke podatkov.

                                                                                                                                                  Preverite, ali so napake v zbirki podatkov ali težave z lokalnim omrežjem.

                                                                                                                                                  Napaka pri povezavi z lokalno zbirko podatkov.

                                                                                                                                                  Preverite, ali je strežnik zbirke podatkov na voljo in ali so bile pri konfiguraciji vozlišča uporabljene ustrezne poverilnice računa storitve.

                                                                                                                                                  Napaka pri dostopu do storitve v oblaku.

                                                                                                                                                  Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve zazunanjo povezljivost.

                                                                                                                                                  Podaljšanje registracije storitve v oblaku.

                                                                                                                                                  Registracija za storitve v oblaku je bila opuščena. Podaljšanje registracije je v teku.

                                                                                                                                                  Registracija storitve v oblaku je bila opuščena.

                                                                                                                                                  Registracija za storitve v oblaku je prekinjena. Storitev se ukinja.

                                                                                                                                                  Storitev še ni aktivirana.

                                                                                                                                                  Aktivirajte preskusno različico ali dokončajte premikanje preskusne različice v produkcijo.

                                                                                                                                                  Konfigurirana domena se ne ujema s strežniškim potrdilom.

                                                                                                                                                  Prepričajte se, da se strežniško potrdilo ujema s konfigurirano domeno za aktiviranje storitve.

                                                                                                                                                  Najverjetnejši vzrok je, da je bil certifikat CN pred kratkim spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo.

                                                                                                                                                  Preverjanje pristnosti v storitvah v oblaku ni uspelo.

                                                                                                                                                  Preverite točnost in morebitni potek poverilnic računa storitve.

                                                                                                                                                  Odpiranje datoteke lokalne shrambe ključev ni uspelo.

                                                                                                                                                  Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev.

                                                                                                                                                  Potrdilo lokalnega strežnika ni veljavno.

                                                                                                                                                  Preverite datum poteka potrdila strežnika in se prepričajte, da ga je izdal zaupanja vreden overitelj potrdil.

                                                                                                                                                  Ni mogoče objaviti meritev.

                                                                                                                                                  Preverite dostop do zunanjega omrežja v oblaku.

                                                                                                                                                  Imenik /media/configdrive/hds ne obstaja.

                                                                                                                                                  Preverite konfiguracijo namestitve ISO na navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je bila uspešno nameščena.

                                                                                                                                                  Odpravljanje težav s hibridno varnostjo podatkov

                                                                                                                                                  Pri odpravljanju težav s hibridno varnostjo podatkov uporabite spodnja splošna navodila.
                                                                                                                                                  1

                                                                                                                                                  Preglejte nadzorno središče za morebitna opozorila in popravite vse elemente, ki jih tam najdete.

                                                                                                                                                  2

                                                                                                                                                  Preglejte izhod strežnika syslog za dejavnost iz uvedbe hibridne varnosti podatkov.

                                                                                                                                                  3

                                                                                                                                                  Obrnite se na podporoCisco.

                                                                                                                                                  Druge opombe

                                                                                                                                                  Znane težave za hibridno varnost podatkov

                                                                                                                                                  • Če zaprete gručo Hybrid Data Security (tako, da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do zbirke podatkov shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati presledkov na seznamu ljudi, ki so bili ustvarjeni s ključi iz vašega KMS. To velja za poskusne in proizvodne uvedbe. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne izklopite storitev HDS, ko upravljajo z aktivnimi uporabniškimi računi.

                                                                                                                                                  • Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice hibridne varnosti podatkov, uporabnikov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler ne poteče časovna omejitev. Uporabnik se lahko tudi odjavi in se znova odjavi v aplikacijo Webex, da posodobi lokacijo, na katero aplikacija stopi v stik za šifrirne ključe.

                                                                                                                                                    Enako vedenje se zgodi, ko premaknete preskusno različico v produkcijo za organizacijo. Vsi uporabniki, ki niso preskusni in imajo obstoječe povezave ECDH s prejšnjimi storitvami za varnost podatkov, bodo še naprej uporabljali te storitve, dokler se povezava ECDH ne bo ponovno pogajala (s časovno omejitvijo ali s prijavo in ponovnim vključitve).

                                                                                                                                                  Uporabite OpenSSL za ustvarjanje datoteke PKCS12

                                                                                                                                                  Preden začnete

                                                                                                                                                  • OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodje za nastavitev HDS. Obstajajo tudi drugi načini za to, vendar ne podpiramo ali spodbujamo enega načina pred drugim.

                                                                                                                                                  • Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot smernico, ki vam bo pomagala ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v zahtevahza potrdilo X.509. Preden nadaljujete, spoznajte te zahteve.

                                                                                                                                                  • Namestite OpenSSL v podprtem okolju. Oglejte si https://www.openssl.org programsko opremo in dokumentacijo.

                                                                                                                                                  • Ustvarite zasebni ključ.

                                                                                                                                                  • Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil.

                                                                                                                                                  1

                                                                                                                                                  Ko od CA-je prejmete strežniško potrdilo, ga shranite kot hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite potrdilo kot besedilo in preverite podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano hdsnode-bundle.pem. Datoteka paketa mora vsebovati strežniško potrdilo, vsa vmesna potrdila CA in potrdila korenskega CA v spodnji obliki:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Ustvarite datoteko .p12 s prijaznim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Preverite podrobnosti o potrdilu strežnika.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. V pozivu vnesite geslo za šifriranje zasebnega ključa, tako da je naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Kaj storiti naprej

                                                                                                                                                  Vrnite se, da izpolnite predpogoje za hibridno varnostpodatkov. Uporabili boste hdsnode.p12 in geslo, ki ste ga nastavili zanjo, v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.


                                                                                                                                                   

                                                                                                                                                  Te datoteke lahko znova uporabite, da zahtevate novo potrdilo, ko izvirno potrdilo poteče.

                                                                                                                                                  Promet med vozlišči HDS in oblakom

                                                                                                                                                  Promet zbiranja odhodnih metrik

                                                                                                                                                  Vozlišča hibridne varnosti podatkov pošljejo določene meritve v oblak Webex. Te vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev CPU-ja in število niti; meritve na sinhronih in asinhronih nitih; meritve opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; meritve v shrambi podatkov; in meritve šifrirane povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek izvenpasovnega (ločenega od zahteve) kanala.

                                                                                                                                                  Vhodni promet

                                                                                                                                                  Vozlišča hibridne varnosti podatkov prejemajo naslednje vrste dohodnega prometa iz oblaka Webex:

                                                                                                                                                  • Zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja

                                                                                                                                                  • Nadgradnje programske opreme vozlišča

                                                                                                                                                  Konfiguracija strežnikov proxy lignjev za hibridno varnost podatkov

                                                                                                                                                  Websocket se ne more povezati prek Squid Proxy

                                                                                                                                                  Proxy lignje, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocketa ( wss:) povezave, ki jih zahteva hibridna varnost podatkov. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da jih prezrete wss: promet za pravilno delovanje storitev.

                                                                                                                                                  Lignji 4 in 5

                                                                                                                                                  Dodajte ikono on_unsupported_protocol direktivo o squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignji 3.5.27

                                                                                                                                                  Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Ali je bil ta članek koristen?