Možde primećujete da neki članci ne prikazuju usaglašen sadržaj. Izvinjavamo se na prašnjavim stvarima, radimo na ažuriranju lokacije.
cross icon
U ovom članku
dropdown icon
Predgovor
    Nove i promenjene informacije
    dropdown icon
    Prvi koraci u hibridnoj zaštiti podataka
      Pregled hibridne bezbednosti podataka
        dropdown icon
        Arhitektura bezbednosnog područja
          Domeni razdvajanja (bez hibridne bezbednosti podataka)
        Sarađujte sa drugim organizacijama
          Očekivanja za primenu hibridne bezbednosti podataka
            Proces podešavanja na visokom nivou
              dropdown icon
              Model primene hibridne bezbednosti podataka
                Model primene hibridne bezbednosti podataka
              Probni režim hibridne bezbednosti podataka
                dropdown icon
                centar podataka u stanju pripravnosti za oporavak od katastrofe
                  Podešavanje centra podataka u stanju pripravnosti za oporavak od katastrofe
                Proksi podrška
                dropdown icon
                Pripremite okruženje
                  dropdown icon
                  Zahtevi za hibridnu bezbednost podataka
                    Zahtevi za licencu Cisco Webex
                    Zahtevi za radnu površinu Docker
                    X.509 zahtevi sertifikata
                    Zahtevi virtuelnog organizatora
                    Zahtevi servera baze podataka
                    Zahtevi za spoljno povezivanje
                    Zahtevi proxy servera
                  Ispunite preduslove za hibridnu bezbednost podataka
                  dropdown icon
                  Podešavanje klastera hibridne bezbednosti podataka
                    Tok zadatka primene hibridne bezbednosti podataka
                      Preuzmi datoteke za instalaciju
                        Kreirajte ISO konfiguraciju za HDS organizatore
                          Instalirajte HDS organizatora OVA
                            Podešavanje hibridne bezbednosti podataka
                              Otpremite i montirajte HDS konfiguraciju ISO
                                Konfigurisanje HDS oglasa za integraciju proxy servera
                                  Registruj prvi čvor u klasteru
                                    Kreirajte i registrujte više čvorova
                                    dropdown icon
                                    Pokrenite probnu verziju i pređite na proizvodnju
                                      Probna verzija u tok zadatka proizvodnje
                                        Aktiviraj probnu verziju
                                          Testirajte svoju primenu hibridne bezbednosti podataka
                                            Nadgledajte hibridnu bezbednost podataka
                                              Dodajte ili uklonite korisnike iz probne verzije
                                                Pređite sa probne verzije na proizvodnju
                                                  Završite svoju probnu verziju bez prelaska na proizvodnju
                                                  dropdown icon
                                                  Upravljajte HDS primenom
                                                    Upravljaj HDS primenom
                                                      Postavi raspored nadogradnje klastera
                                                        Promeni konfiguraciju čvora
                                                          Isključi blokirani režim spoljne DNS rezolucije
                                                            Uklanjanje čvora
                                                              Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti
                                                                (Opcionalno) Uklonite ISO nakon HDS konfiguracije
                                                                dropdown icon
                                                                Rešavanje problema hibridne bezbednosti podataka
                                                                  Prikaz upozorenja i rešavanje problema
                                                                    dropdown icon
                                                                    Upozorenja
                                                                      Uobičajeni problemi i koraci za njihovo rešavanje
                                                                    Rešavanje problema hibridne bezbednosti podataka
                                                                    dropdown icon
                                                                    Druge napomene
                                                                      Poznati problemi za hibridnu bezbednost podataka
                                                                        Koristite OpenSSL za generisanje PKCS12 datoteke
                                                                          Saobraćaj između HDS čvorova i oblaka
                                                                            dropdown icon
                                                                            Konfigurisanje proxy servera za hibridnu bezbednost podataka
                                                                              Websocket ne može da se poveže preko proxy servera sa lignjama
                                                                          U ovom članku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Predgovor
                                                                            Nove i promenjene informacije
                                                                            dropdown icon
                                                                            Prvi koraci u hibridnoj zaštiti podataka
                                                                              Pregled hibridne bezbednosti podataka
                                                                                dropdown icon
                                                                                Arhitektura bezbednosnog područja
                                                                                  Domeni razdvajanja (bez hibridne bezbednosti podataka)
                                                                                Sarađujte sa drugim organizacijama
                                                                                  Očekivanja za primenu hibridne bezbednosti podataka
                                                                                    Proces podešavanja na visokom nivou
                                                                                      dropdown icon
                                                                                      Model primene hibridne bezbednosti podataka
                                                                                        Model primene hibridne bezbednosti podataka
                                                                                      Probni režim hibridne bezbednosti podataka
                                                                                        dropdown icon
                                                                                        centar podataka u stanju pripravnosti za oporavak od katastrofe
                                                                                          Podešavanje centra podataka u stanju pripravnosti za oporavak od katastrofe
                                                                                        Proksi podrška
                                                                                        dropdown icon
                                                                                        Pripremite okruženje
                                                                                          dropdown icon
                                                                                          Zahtevi za hibridnu bezbednost podataka
                                                                                            Zahtevi za licencu Cisco Webex
                                                                                            Zahtevi za radnu površinu Docker
                                                                                            X.509 zahtevi sertifikata
                                                                                            Zahtevi virtuelnog organizatora
                                                                                            Zahtevi servera baze podataka
                                                                                            Zahtevi za spoljno povezivanje
                                                                                            Zahtevi proxy servera
                                                                                          Ispunite preduslove za hibridnu bezbednost podataka
                                                                                          dropdown icon
                                                                                          Podešavanje klastera hibridne bezbednosti podataka
                                                                                            Tok zadatka primene hibridne bezbednosti podataka
                                                                                              Preuzmi datoteke za instalaciju
                                                                                                Kreirajte ISO konfiguraciju za HDS organizatore
                                                                                                  Instalirajte HDS organizatora OVA
                                                                                                    Podešavanje hibridne bezbednosti podataka
                                                                                                      Otpremite i montirajte HDS konfiguraciju ISO
                                                                                                        Konfigurisanje HDS oglasa za integraciju proxy servera
                                                                                                          Registruj prvi čvor u klasteru
                                                                                                            Kreirajte i registrujte više čvorova
                                                                                                            dropdown icon
                                                                                                            Pokrenite probnu verziju i pređite na proizvodnju
                                                                                                              Probna verzija u tok zadatka proizvodnje
                                                                                                                Aktiviraj probnu verziju
                                                                                                                  Testirajte svoju primenu hibridne bezbednosti podataka
                                                                                                                    Nadgledajte hibridnu bezbednost podataka
                                                                                                                      Dodajte ili uklonite korisnike iz probne verzije
                                                                                                                        Pređite sa probne verzije na proizvodnju
                                                                                                                          Završite svoju probnu verziju bez prelaska na proizvodnju
                                                                                                                          dropdown icon
                                                                                                                          Upravljajte HDS primenom
                                                                                                                            Upravljaj HDS primenom
                                                                                                                              Postavi raspored nadogradnje klastera
                                                                                                                                Promeni konfiguraciju čvora
                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije
                                                                                                                                    Uklanjanje čvora
                                                                                                                                      Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti
                                                                                                                                        (Opcionalno) Uklonite ISO nakon HDS konfiguracije
                                                                                                                                        dropdown icon
                                                                                                                                        Rešavanje problema hibridne bezbednosti podataka
                                                                                                                                          Prikaz upozorenja i rešavanje problema
                                                                                                                                            dropdown icon
                                                                                                                                            Upozorenja
                                                                                                                                              Uobičajeni problemi i koraci za njihovo rešavanje
                                                                                                                                            Rešavanje problema hibridne bezbednosti podataka
                                                                                                                                            dropdown icon
                                                                                                                                            Druge napomene
                                                                                                                                              Poznati problemi za hibridnu bezbednost podataka
                                                                                                                                                Koristite OpenSSL za generisanje PKCS12 datoteke
                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurisanje proxy servera za hibridnu bezbednost podataka
                                                                                                                                                      Websocket ne može da se poveže preko proxy servera sa lignjama

                                                                                                                                                  Vodič za primenu za Webex hibridnu bezbednost podataka

                                                                                                                                                  list-menuU ovom članku
                                                                                                                                                  list-menuPovratne informacije?
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  • Izbrisane informacije iz zahteva servera baze podataka u zahtevu za omogućavanje funkcije kontaktiranjem tima naloga.

                                                                                                                                                  • Ažurirane su informacije u zahtevima za spoljno povezivanje i dodate su Kanadu u tabelu CI organizatora.

                                                                                                                                                  • Dodata je namena u očekivanjima za primenu hibridne bezbednosti podataka u vezi sa nedostupnošću mehanizama za premeštanje ključeva u oblak.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  13.10.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24. juna 2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24.02.2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  02.02.2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13. oktobra 2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDSorganizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14. avgusta 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDSorganizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februara 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  04.02.2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8. novembra 2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  Septembar 6, 2019

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20.08.2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom da bi se sinhronizovao objekat grupe HdsTrialGroup pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januara 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februara 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  02.11.2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja koje omogućavaju klijenti aplikacije Webex koji interaguju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Pre pada sistema, Centar podataka A ima aktivne HDS čvorove i primarnu PostgreSQL ili Microsoft SQL Bazu podataka servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ove koji su registrovani u organizaciji i u okviru baze podataka u stanje pripravnosti. Nakon neuspeha, Centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u režimu mirovanja.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pogledajte Centar podataka u pripravnosti za oporavak od katastrofe za pregled ovog modela neuspeha.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                   pristupni mod: To je tačno. 

                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku ISO datoteku.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon što konfigurišete passiveMode u datoteku ISO i sačuvate je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez konfiguracije pasivnog Mode-a i sačuvate je na bezbednoj lokaciji. Ova kopija datoteke ISO bez konfigurisane pasivne Mode datoteke može da vam pomogne u procesu brzog prebacivanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebna ispravka certifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebna ispravka certifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koristite. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

                                                                                                                                                  Primer hibridnih čvorova za bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

                                                                                                                                                  Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime kms-privatnog ključa za otpremanje sertifikata, privatnog ključa i svih posrednih sertifikata.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Sto 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnogklastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Prozirni proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy – lignje.


                                                                                                                                                       

                                                                                                                                                      Lignje proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

                                                                                                                                                    • Vari potvrdu identiteta samo pomoću HTTPS-a

                                                                                                                                                  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

                                                                                                                                                  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

                                                                                                                                                  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu ( na primer hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 profesionalni ili enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupa na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u grupi Active Directory pod nazivom HdsTrialGroup i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. HdsTrialGroup objekat mora da se sinhronizuje sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta" . (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS oglasa za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge ".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  U redovnim sredinama:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stabilno

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stabilno

                                                                                                                                                   

                                                                                                                                                  Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u Docker registar slika, unesite sledeće:

                                                                                                                                                  пријављивање -у хосту
                                                                                                                                                  3

                                                                                                                                                  Na poziv za lozinku unesite ovaj heš:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim sredinama:

                                                                                                                                                  povucite ciscocitg/hds-setup:stabilno

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker povuci ciscocitg/hds-setup-fedramp:stabilno
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez punomoćnika:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilno
                                                                                                                                                  • U redovnim okruženjima sa http proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proksija:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabilno
                                                                                                                                                  • U FedRAMP okruženjima sa http proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač da biste pristupili lokalnom organizatoru http://127.0.0.1:8080i unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac : ili :.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Poželjne TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  Zahtevajte TLS i verifikujte potpisnika sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena moraju da se podudaraju ili čvor prekida vezu.

                                                                                                                                                  Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxVeličina: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje ".

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora, a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici " Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje ".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija, kliknite na 4 CPU , a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta " kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnu tačku. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim odaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola ".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: Cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz datoteke skladišta podataka ISO i pregledajte lokaciju na kojoj ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS oglasa za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  1

                                                                                                                                                  Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

                                                                                                                                                  2

                                                                                                                                                  Idite na Trust Store & Proxy , azatim odaberite opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebna ispravka certifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebna ispravka certifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proksije.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proksije.

                                                                                                                                                        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proksije.

                                                                                                                                                        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

                                                                                                                                                  Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

                                                                                                                                                  Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

                                                                                                                                                  Node se ponovo pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte objekat grupe HdsTrialGroup .

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete objekat grupe HdsTrialGroup za sinhronizaciju sa oblakom da biste mogli da pokrenete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete objekat grupe HdsTrialGroup za sinhronizaciju sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge ".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste proverili da li korisnik prvo uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create and kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-niti-1] - [KMS:REQUEST] primljeno, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzmitei kms.data.type=KLJUČ:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-niti-31] - [KMS:REQUEST] primljeno, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create and kms.data.type=KOLEKCIJA KLJUČA_:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-niti-33] - [KMS:REQUEST] primljeno, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=_KEY COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li korisnik zahteva kreiranje novog kms objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create and kms.data.type=KOLEKCIJA_ RESURSA:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-niti-1] - [KMS:REQUEST] primljeno, ID uređaja: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) da biste upravljali probnom grupom, HdsTrialGroup; možete da prikažete članove grupe u Kontrolnom čvorištu, ali ne možete ih dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na " Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Kontrolni centar.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:
                                                                                                                                                  • Promena x.509 sertifikata zbog isteka ili drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremu novog data centra.

                                                                                                                                                  Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

                                                                                                                                                  • Softverska resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

                                                                                                                                                  • Čvrsto resetovanje – stare lozinke odmah zaustavljaju rad.

                                                                                                                                                  Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    Http proksi bez provere autentičnosti

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi bez autentifikacije

                                                                                                                                                    GLOBALNI_AGENT HTTPS_PROXY=http://SERVER_IP_:PORT

                                                                                                                                                    Http proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP_:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

                                                                                                                                                  1

                                                                                                                                                  Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

                                                                                                                                                  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    U redovnim sredinama:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stabilno

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabilno

                                                                                                                                                     

                                                                                                                                                    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

                                                                                                                                                  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

                                                                                                                                                    пријављивање -у хосту
                                                                                                                                                  3. Na poziv za lozinku unesite ovaj heš:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim sredinama:

                                                                                                                                                    povucite ciscocitg/hds-setup:stabilno

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker povuci ciscocitg/hds-setup-fedramp:stabilno

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez punomoćnika:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilno
                                                                                                                                                    • U redovnim okruženjima sa http proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proksija:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabilno
                                                                                                                                                    • U FedRAMP okruženjima sa http proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite svoje akreditive za prijavljivanje kupaca na portalu Control Hub, a zatim kliknite na " Prihvati" da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu konfiguraciju ISO datoteke.

                                                                                                                                                  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

                                                                                                                                                  2

                                                                                                                                                  Ako je pokrenut samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu datoteku ISO konfiguracije. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host JAJAŠCA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Montirajte ažuriranu konfiguracionu datoteku.

                                                                                                                                                  4. Registrujte novi oglas u kontrolnom čvorištu.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

                                                                                                                                                  1. Isključi virtuelnu mašinu.

                                                                                                                                                  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

                                                                                                                                                  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

                                                                                                                                                  4. Proverite Connect na napajanju.

                                                                                                                                                  5. Sačuvajte promene i uključite virtuelnu mašinu.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme Proveri proxy vezu.

                                                                                                                                                  Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

                                                                                                                                                  Šta dalje

                                                                                                                                                  Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve " da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja" dodajte konfiguraciju ispod ili uklonite konfiguraciju pasivnog modusa da biste čvor aktivirali. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                   pristupni mod: 'false' 

                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku ISO datoteku.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVDdisk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Obaveštenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Otkazivanje pristupa lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  otvara x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN SERTIFIKAT----- ### SERTIFIKAT SERVERA. ### -----END SERTIFIKAT----- -----BEGIN SERTIFIKAT----- ### posredni CA sertifikat. ### -----END SERTIFIKAT----- -----GIN SERTIFIKAT----- ### vrhovni CA sertifikat. ## -----END SERTIFIKAT-----

                                                                                                                                                  4

                                                                                                                                                  Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatnim ključem.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat sadrže prijateljski naziv za linije: kms-privatni ključ.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Unesite lozinku za uvoz: MAC da su potvrđeni U redu atributi baga: kms-localKeyID privatnog ključa: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za peM prolaz: Potvrđivanje – Unesite frazu za PEM prolaz: ----- DA BISTE PREUZELI ŠIFROVANI PRIVATNI KLJUČ-----  -----END ŠIFROVANI PRIVATNI KLJUČ----- Atributi kese i prezime: kms-localKeyID privatnog ključa: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds 1.org6.portun.us izdavač=/C=US/O=Hajde da šifrovanje/CN=Hajde da šifrovanje autoriteta X3 -----BEGIN SERTIFIKAT----- -----END SERTIFIKAT  ----- Atributi kesa su prijateljskiName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Hajde da šifrovanje/CN=Hajde da šifrovanje Authority X3 izdavač=/O=Pouzdanost digitalnog potpisa Co./CN=DST Root CA X3 -----BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za je u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera sa lignjama

                                                                                                                                                  Lignje proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket (wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije lignje da zanemare WSS: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte direktivu on_unsupported_protocollignje.conf:

                                                                                                                                                  on_unsupported_protocol prolaz svima

                                                                                                                                                  Lignje 3.5.27

                                                                                                                                                  Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection splice ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump step1 all ssl_bump stare stepe korak 2 sve ssl_bump
                                                                                                                                                  Predgovor

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  13. oktobar 2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24. jun 2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13. oktobar 2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14. avgust 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19. novembar 2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8. novembar 2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja koje omogućavaju klijenti aplikacije Webex koji interaguju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne čuva ključeve za šifrovani sadržaj.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Podrška za proxy

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesiti proxy servera na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtevati plaćenu pretplatu za Docker Desktop. Više detalja potražite u doker objavi na blogu" " Docker ažurira i proširovanje pretplata na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy serveri koji pregledaju veb-saobraćaj mogu da ometaju veze sa veb-priključakom. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao doker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite Docker na tom računaru. Proces podešavanja zahteva akreditive Za Control Hub nalog sa punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovaj korak počisti prethodne slike alatke za HDS podešavanje. Ako ne postoje prethodne slike, ona će vratiti grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da prijaviti se u registrator slika Doker, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  U odziv za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Poželjno TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS da se povežu sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju TLS.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju TLS.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite upravljanje bazom podataka korenski sertifikat ispod padajućeg meru da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisnik sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju TLS.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena moraju tačno da se podudaraju ili čvor prekida vezu.

                                                                                                                                                  Koristite upravljanje bazom podataka korenski sertifikat ispod padajućeg meru da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisnik sertifikata i ime hosta, ako je primenjivo. Ako test ne uspe, alatka prikazuje poruku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija, kliknite na 4 CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na " Sačuvaj".

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju čvora hibridne bezbednosti podataka iz nekog razloga kao što je:
                                                                                                                                                  • Promena x.509 sertifikata iz razloga isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN mreže naziv domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL servera.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server ili obrnuto. Da biste promenili okruženje baze podataka, pokrenite novu primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremu nove centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi nalog za usluge lozinke koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS generiše ove lozinke, primenjujete ih na svaki HDS čvorove u datoteci ISO konfig. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje od Webex tima da resetujete lozinku za vaš mašinski nalog. (E-pošta sadrži tekst "Koristite mašinski nalog API ažurirajte lozinku." Ako vaše lozinke još nisu istekle, alatka vam pruža dve opcije:

                                                                                                                                                  • Softverska resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno ISO datoteku na čvorovima.

                                                                                                                                                  • Čvrsto resetovanje – stare lozinke odmah zaustavljaju rad.

                                                                                                                                                  Ako lozinke isteku bez resetovanje, to utiče na HDS uslugu, zahtevanje neposrednog oštećenja i zamene datoteke ISO na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisli novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao doker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite Docker na tom računaru. Proces podešavanja zahteva akreditive Za Control Hub nalog sa punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija datoteke trenutne konfiguracije ISO da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je ISO prilikom promene konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene u smernicama za autorizaciju.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnom računaru, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovaj korak počisti prethodne slike alatke za HDS podešavanje. Ako ne postoje prethodne slike, ona će vratiti grešku koju možete da zanemarite.

                                                                                                                                                  2. Da prijaviti se u registrator slika Doker, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. U odziv za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalnim organizatorom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite svoje akreditive za prijavljivanje kupaca na portalu Control Hub, a zatim kliknite na "Prihvati" da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu datoteku ISO konfiguracije.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako je pokrenut samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu datoteku ISO konfiguracije. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte OVA HDS hosta.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažurirani datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na portalu Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru za uključivanje, ažuriranjem svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite ovu virtuelna mašina.

                                                                                                                                                  2. U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz ISO i potražite lokaciju na kojoj ste preuzeli novu datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je opcija "Povezivanje" uključena.

                                                                                                                                                  5. Uštedite promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji ima staru konfiguraciju.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Predgovor

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Izvršene promene

                                                                                                                                                  20. oktobra 2023.

                                                                                                                                                  07. avgust 2023.

                                                                                                                                                  јун 23, 2023

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  13.10.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za instaliranje da biste mogli da instalirate HDS čvorove. Pogledajte članak Zahtevi za radnu površinu Docker.

                                                                                                                                                  24. juna 2021.

                                                                                                                                                  Imajte na umu da možete ponovo da koristite datoteku privatnog ključa i CSR da biste zatražili drugi sertifikat. Pogledajte članak Korišćenje OpenSSL Da biste generisali PKCS12 Datoteku za detalje.

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM zahtev za lokalni čvrsti disk na 30 GB. Detaljnije informacije potražite u članku Zahtevi virtuelnog organizatora .

                                                                                                                                                  24.02.2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detaljnije o tome pročitajte u članku Kreiranje ISO konfiguracije za HDS organizatore .

                                                                                                                                                  02.02.2021.

                                                                                                                                                  HDS sada može da radi bez montirane ISO datoteke. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januara 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serijama da biste kreirali ISO konfiguraciju za HDS organizatore.

                                                                                                                                                  13. oktobra 2020.

                                                                                                                                                  Preuzimanje datoteka za instalaciju je ažurirano.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano je podešavanje ISO konfiguracije za HDS organizatore i promenite konfiguraciju čvora komandama za FedRAMP okruženja.

                                                                                                                                                  14. avgusta 2020.

                                                                                                                                                  Ažurirano je podešavanje ISO konfiguracije za HDS organizatore i promenite konfiguraciju čvora promenama procesa prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano je testiranje primene hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora da biste uklonili maksimalan broj organizatora.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirana je opcija Ukloni čvor za promene u korisničkom interfejsu Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je podešavanje ISO konfiguracije za HDS organizatore za promene u naprednim podešavanjima koje možete da podesite.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano je podešavanje ISO konfiguracije za HDS organizatore da bi se prikazalo da takođe možete da koristite TLS sa bazama podataka SQL servera, promenama korisničkog interfejsa i drugim objašnjenjima.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora da bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljno povezivanje sa novim Americas CI organizatorima.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljno povezivanje sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februara 2020.Ažurirano je podešavanje ISO konfiguracije za HDS organizatore sa informacijama na novom opcionalnom ekranu naprednih podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  04.02.2020.Ažurirani su zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojasnio je zahtev da režim blokirane spoljne DNS rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate su informacije o blokiranom režimu spoljne DNS rezolucije u sledećim odeljcima:

                                                                                                                                                  8. novembra 2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor tokom primene OVA, a ne kasnije.

                                                                                                                                                  Na odgovarajući način su ažurirani sledeći odeljci:

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  Septembar 6, 2019

                                                                                                                                                  Dodat je standard SQL servera u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodat je dodatak Konfigurisanje proxy servera za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera squid da bi se ignorisao saobraćaj veb-priključka za pravilan rad.
                                                                                                                                                  20.08.2019.

                                                                                                                                                  Dodati su i ažurirani odeljci tako da pokrivaju proxy podršku za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak Podrška za proxy za hibridnu bezbednost podataka i Webex Video Mesh pomoći.

                                                                                                                                                  јун 13, 2019Probna verzija je ažurirana u tok zadatka proizvodnje sa podsetnikom za sinhronizaciju objekta HdsTrialGroup grupe pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  јул 6, 2019
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravljena je količina prostora lokalnog čvrstog diska po serveru koji treba da stavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da odražavaju veličinu diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa serverima baze podataka PostgreSQL i šifrovane veze za evidentiranje na sistemski server koji podržava TLS. Ažurirano je podešavanje ISO konfiguracije za HDS organizatore pomoću uputstava.

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele „Zahtevi internet povezivanja za VM-ove hibridne bezbednosti podataka“. Tabela se sada odnosi na listu održanu u tabeli „Dodatne URL adrese za Webex Teams hibridne usluge“ Zahtevi mreže za Webex Teams usluge.

                                                                                                                                                  24. januara 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (Always On Failover Clusters i Always On Availability Groups) podržavaju JDBC upravljački programi koji se koriste u hibridnoj zaštiti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. јул 2018.
                                                                                                                                                  19. јул 2018.

                                                                                                                                                  јул 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena je terminologija tako da odražava rebrendiranje Cisco Spark-a:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Aplikacija Cisco Spark je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. јул 2018
                                                                                                                                                  22. februara 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli X.509 zahtevi sertifikata navedeno je da sertifikat ne može biti džoker sertifikat i da KMS koristi CN domen, a ne domen koji je definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  02.11.2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Popravljena uputstva za otpremanje ISO datoteke za konfiguraciju za montažu na VM čvorove.

                                                                                                                                                  јул 18, 2017

                                                                                                                                                  Prvi put objavljen

                                                                                                                                                  Prvi koraci u hibridnoj zaštiti podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Bezbednost podataka je od prvog dana bila primarni fokus u dizajniranju aplikacije Webex. Kamen temeljac ove bezbednosti je end-to-end šifrovanje sadržaja koji omogućavaju klijenti aplikacije Webex koji komuniciraju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje ključevima za šifrovanje koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju end-to-end šifrovanje pomoću dinamičkih ključeva koji se čuvaju u KMS-u oblaka, u bezbednosnom domenu kompanije Cisco. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš centar za podatke o preduzeću, tako da niko osim vas ne poseduje ključeve šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Webex arhitektura oblaka razdvaja različite tipove usluge na zasebne domene ili pouzdane domene, kao što je prikazano ispod.

                                                                                                                                                  Domeni razdvajanja (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da bismo dalje razumeli hibridnu bezbednost podataka, prvo pogledajmo ovaj slučaj sa čistim oblakom, gde Cisco obezbeđuje sve funkcije u svom domenu oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti direktno povezani sa svojim ličnim podacima kao što je e-adresa, je logično i fizički odvojeno od bezbednosnog područja u centru podataka B. Oba su odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u centru podataka C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex koja je pokrenuta na laptopu korisnika i koji je potvrđen identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, dešavaju se sledeći koraci:

                                                                                                                                                  1. Klijent uspostavlja bezbednu vezu sa uslugom za upravljanje ključevima (KMS), a zatim zahteva ključ za šifrovanje poruke. Bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću glavnog ključa AES-256.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje usluzi indeksiranja, koja kreira šifrovane indekse pretrage za pomoć u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti za provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u domenu skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, funkcije bezbednosnog područja (KMS, indeksiranje i usklađenost) premeštate u lokalni centar podataka. Druge usluge u oblaku koje čine Webex (uključujući identitet i skladište sadržaja) ostaju u domenu kompanije Cisco.

                                                                                                                                                  Sarađujte sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), KMS šalje ključ klijentu preko ECDH zaštićenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev ka Webex oblaku putem zasebnog ECDH kanala da bi dobio ključ iz odgovarajućeg KMS-a, a zatim vratio ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga koja je pokrenuta na Org A proverava se veze sa KMS-ovima u drugim organizacijama koristeći x.509 PKI sertifikate. Pogledajte članak Pripremite okruženje za detalje o generisanju x.509 sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Proces podešavanja na visokom nivou

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podesite hibridnu bezbednost podataka – to uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazite na proizvodnju. Ovim putem se celu organizaciju konvertuje da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i proizvodnje detaljno su obuhvaćene u sledeća tri poglavlja.

                                                                                                                                                  • Održavajte svoju primenu hibridne bezbednosti podataka– Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži podršku prvog nivoa za ovu primenu i da angažuje podršku kompanije Cisco po potrebi. Obaveštenja na ekranu možete da koristite i da podesite upozorenja zasnovana na e-pošti na platformi Control Hub.

                                                                                                                                                  • Razumete uobičajene upozorenja, korake za rešavanje problema i poznate probleme– Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak „Poznati problemi“ mogu da vam pomognu da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru centra podataka velikog preduzeća primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim domaćinima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-utičnica i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije dostavljamo vam OVA datoteku za podešavanje virtuelnog uređaja na VM-ovima koje obezbedite. Koristite alatku za podešavanje HDS-a za kreiranje prilagođene ISO datoteke za konfiguraciju klastera koju montirate na svakom čvoru. Klaster za hibridnu bezbednost podataka koristi vaš obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Ako imate više čvorova, usluga neće biti prekinuta tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor po jedan.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom datumu ključa i aktivnosti evidencije na isti syslog server. Sami čvorovi su bezvredni i obrađuju ključne zahteve u okrugloj robovskoj formi, kao što je usmereno kroz oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste poneli pojedinačni čvor van usluge, možete da ga odjavite, a kasnije ga ponovo registrujete ako je potrebno.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda, ovi korisnici koriste vaš lokalni domen za hibridnu bezbednost podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Drugi korisnici nastavljaju da koriste područje bezbednosti u oblaku.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, korisnici pilota i svi korisnici sa kojima su komunicirali kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti „Ova poruka nije moguće dešifrovati“ u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni time što vaša primena dobro funkcioniše za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka svim svojim korisnicima, prebacite primenu na proizvodnju. Korisnici pilota i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete da se pomerate napred-nazad između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, kao što je da biste izvršili oporavak od katastrofe, kada ponovo aktivirate, morate da pokrenete novu probnu verziju i podesite skup pilot korisnika za novu probnu verziju pre nego što se vratite na režim proizvodnje. Da li će korisnici zadržati pristup podacima u ovom trenutku zavisi od toga da li ste uspešno održavali rezervne kopije ključnog skladišta podataka i ISO konfiguracione datoteke za čvorove hibridne bezbednosti podataka u svom klasteru.

                                                                                                                                                  centar podataka u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene podesite bezbedan centar podataka u stanju pripravnosti. U slučaju katastrofe centra podataka, ručno možete da neuspešno primenite na centar podataka u stanju pripravnosti.

                                                                                                                                                  Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu bazu podataka PostgreSQL ili Microsoft SQL servera, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani za organizaciju i bazu podataka u stanju pripravnosti. Nakon preuzimanja, centar podataka B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju mirovanja.
                                                                                                                                                  Ručno preuzimanje do centra podataka u stanju pripravnosti

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su sinhronizovane jedna sa drugom, čime će se umanjiti vreme potrebno za obavljanje neuspešnog pada sistema. ISO datoteka centra podataka u stanju pripravnosti se ažurira dodatnim konfiguracijama koje osiguravaju da su čvorovi registrovani za organizaciju, ali neće obrađivati saobraćaj. Zbog toga čvorovi centra podataka u stanju pripravnosti uvek ostaju ažurirani sa najnovijom verzijom HDS softvera.

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u istom centru podataka kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u stanju pripravnosti za oporavak od katastrofe

                                                                                                                                                  Pratite korake u nastavku da biste konfigurisali ISO datoteku centra podataka u stanju pripravnosti:

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

                                                                                                                                                  ISO datoteka mora da bude kopija originalne ISO datoteke primarnog centra podataka na koji treba da se izvrše sledeće ispravke konfiguracije.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfigurisanja Syslogd servera, kliknite na Napredna podešavanja

                                                                                                                                                  3

                                                                                                                                                  Na stranici Napredna podešavanja dodajte konfiguraciju u nastavku da biste postavili čvor u pasivni režim. U ovom režimu čvor će biti registrovan za organizaciju i povezan sa oblakom, ali neće obrađivati nikakav saobraćaj.

                                                                                                                                                   pasivniRežim: 'tačno' 

                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

                                                                                                                                                  6

                                                                                                                                                  U levom oknu za navigaciju klijenta VMware vSphere, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja..

                                                                                                                                                  7

                                                                                                                                                  Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

                                                                                                                                                  Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

                                                                                                                                                  Proverite sistemske evidencije da biste potvrdili da su čvorovi u pasivnom režimu. Trebalo bi da budete u mogućnosti da vidite poruku „KMS konfigurisan u pasivnom režimu“ u syslozima.

                                                                                                                                                  Nakon što konfigurišete passiveMode u ISO datoteci i sačuvate je, možete da kreirate još jednu kopiju ISO datoteke bez konfiguracije passiveMode i da je sačuvate na bezbednoj lokaciji. Ova kopija ISO datoteke bez konfigurisanog passiveMode može da pomogne u brzom postupku neuspeha tokom oporavka od katastrofe. Pogledajte članak Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti za detaljan postupak neuspešnog pada sistema.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

                                                                                                                                                  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

                                                                                                                                                  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

                                                                                                                                                    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

                                                                                                                                                    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

                                                                                                                                                      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

                                                                                                                                                    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nema– Nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

                                                                                                                                                      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

                                                                                                                                                  Primer hibridnih čvorova za bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

                                                                                                                                                  Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

                                                                                                                                                  Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

                                                                                                                                                  Pripremite okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Zahtevi za licencu Cisco Webex

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za radnu površinu Docker

                                                                                                                                                  Pre nego što instalirate HDS čvorove, potrebna vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao model licenciranja. Možda će biti potrebna plaćena pretplata za Docker Desktop. Detalje potražite u postu na Docker blogu „Docker ažurira i proširuje naše prijave na proizvode“.

                                                                                                                                                  X.509 zahtevi sertifikata

                                                                                                                                                  Lanac sertifikata mora da ispunjava sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani autoritet za izdavanje sertifikata (CA)

                                                                                                                                                  Podrazumevano, verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Sadrži ime domena zajedničkog imena (CN) koje identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili da bude organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker znak).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka za klijente aplikacije Webex. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Jednom kada ste registrovali čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena. Izaberite domen koji se može primeniti i na probnu verziju i na primenu proizvodnje.

                                                                                                                                                  • Potpis za ne-SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatirano kao datoteka zaštićena lozinkom PKCS #12

                                                                                                                                                  • Koristite prijateljsko ime kms-privatnog ključa za oznaku sertifikata, privatnog ključa i svih posrednih sertifikata za otpremanje.

                                                                                                                                                  Konverter kao što je OpenSSL možete da koristite da biste promenili format sertifikata.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće upotrebu ključeva ili proširena ograničenja upotrebe ključeva. Neki autoriteti za izdavanje sertifikata zahtevaju da se primenjuju ograničenja proširene upotrebe ključeva na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni organizatori koje ćete podesiti kao čvorovi za hibridnu bezbednost podataka u vašem klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka

                                                                                                                                                  • VMware ESXi 6.5 (ili kasnije) je instaliran i pokrenut.

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi.

                                                                                                                                                  • Najmanje 4 vCPU-a, 8 GB glavna memorija, 30 GB lokalnog čvrstog diska po serveru

                                                                                                                                                  Zahtevi servera baze podataka

                                                                                                                                                  Kreirajte novu bazu podataka za skladište ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za server baze podataka. Zahtevi za svaki od njih su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  Послови

                                                                                                                                                  Microsoft SQL server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • Instaliran je SQL server 2016, 2017 ili 2019 (Velika preduzeća ili Standard).

                                                                                                                                                    SQL Server 2016 zahteva Service Pack 2 i Kumulativno Ažuriranje 2 ili novije.

                                                                                                                                                  Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

                                                                                                                                                  Najmanje 8 vCPU-ova, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje da bi se osiguralo da nije prekoračen (preporučuje se 2-TB ako želite dugo da pokrećete bazu podataka bez potrebe za povećanjem skladišta)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa serverom baze podataka:

                                                                                                                                                  Послови

                                                                                                                                                  Microsoft SQL server

                                                                                                                                                  Postgres JDBC drajver 42.2.5

                                                                                                                                                  SQL Server JDBC drajver 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen(Always On Failover Instance Klastera i Always On availability groups).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u odnosu na Microsoft SQL server

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka tastature na Microsoft SQL serveru, onda vam je potrebna sledeća konfiguracija u okruženju:

                                                                                                                                                  • HDS čvorovi, infrastruktura aktivnog direktorijuma i MS SQL servera moraju biti sinhronizovani sa NTP-om.

                                                                                                                                                  • Windows nalog koji obezbeđujete HDS čvorovima mora da ima pristup za čitanje/pisanje bazi podataka.

                                                                                                                                                  • DNS serveri koje dostavljate HDS čvorovima moraju biti u mogućnosti da reše vaš centar za distribuciju ključa (KDC).

                                                                                                                                                  • Instancu HDS baze podataka možete registrovati na Microsoft SQL serveru kao primarno ime usluge (SPN) u aktivnom direktorijumu. Pogledajte članak Registracija glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS-a, HDS pokretača i lokalni KMS treba da koriste Windows potvrdu identiteta da bi pristupili bazi podataka tastature. Oni koriste detalje iz vaše ISO konfiguracije za konstruisanje SPN-a kada se zahteva pristup pomoću Kerberosa za potvrdu identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Upravljanje iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  • Webex serveri:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • Druge URL adrese koje su navedene za hibridnu bezbednost podataka u tabeli Dodatne URL adrese za Webex hibridne uslugeZahtevi mreže za Webex usluge

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom mrežnog pristupa (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze do odredišta domena u prethodnoj tabeli. Za veze koje idu dolaznim čvorovima za hibridnu bezbednost podataka, nijedan portovi ne bi trebalo da budu vidljivi sa interneta. U okviru vašeg centra podataka klijenti treba da imaju pristup čvorovima za hibridnu bezbednost podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za zajednički identitet (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Region

                                                                                                                                                  URL adrese hosta zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

                                                                                                                                                    • Prozirni proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicitni proxy – lignje.

                                                                                                                                                      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

                                                                                                                                                    • Vari potvrdu identiteta samo pomoću HTTPS-a

                                                                                                                                                  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

                                                                                                                                                  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

                                                                                                                                                  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu kontrolnu listu da biste se uverili da ste spremni za instaliranje i konfigurisanje svog klastera za hibridnu bezbednost podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je vaša Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i dobijte akreditive naloga sa potpunim administratorskim pravima organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Izaberite ime domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Lanac sertifikata mora da ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru. Potrebna su vam najmanje dva odvojena organizatora (3 preporučena) koji se nalaze u istom bezbednom centru podataka, koji ispunjavaju zahteve u zahtevima virtuelnog organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će raditi kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti premešten u bezbedni centar podataka sa virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladište ključeva. (Morate kreirati ovu bazu podataka – ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka:

                                                                                                                                                    • ime organizatora ili IP adresu (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladište ključa

                                                                                                                                                    • korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa

                                                                                                                                                  5

                                                                                                                                                  Za brzi oporavak od katastrofe podesite rezervno okruženje u drugom centru podataka. Rezervno okruženje odražava proizvodno okruženje VM-ova i rezervnog servera baze podataka. Na primer, ako proizvodnja ima 3 VM-a sa HDS čvorovima, rezervno okruženje bi trebalo da ima 3 VM-a.

                                                                                                                                                  6

                                                                                                                                                  Podesite syslog organizatora da prikuplja evidencije sa čvorova u klasteru. Prikupite njegovu mrežnu adresu i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbedne smernice za rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i syslog organizatora. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate da napravite rezervnu kopiju baze podataka i ISO datoteke konfiguracije generisane za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, ako ne održite operativnu primenu, rezultiraće NEPOPRAVLJIVIM GUBITKOM tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex skrivaju svoje ključeve, tako da prekid možda neće biti odmah vidljiv, ali će vremenom postati očigledan. Iako je nemoguće sprečiti privremene prekide, oni se mogu povratiti. Međutim, potpuni gubitak (bez dostupnih rezervi) baze podataka ili ISO datoteke za konfiguraciju rezultiraće nepopravljivim podacima kupaca. Od operatera čvorova za hibridnu bezbednost podataka očekuje se da će održavati česta rezerva baze podataka i ISO datoteke za konfiguraciju i biti pripremljeni da ponovo izgrade centar za hibridnu bezbednost podataka ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida dozvoljava povezivanje za čvorove hibridne bezbednosti podataka, kao što je navedeno u Zahtevi za spoljno povezivanje.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru koji koristi podržani OS (Microsoft Windows 10 Professional ili Enterprise 64-bit ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Koristite Docker instancu da biste preuzeli i pokrenuli alatku za podešavanje HDS-a, koja kreira lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna licenca za radnu površinu. Više informacija potražite u članku Zahtevi za radnu površinu Docker.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalna mašina mora da ima izlistan mogućnost povezivanja u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy sa hibridnom bezbednošću podataka, uverite se da on ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u usluzi Active Directory pod nazivom HdsTrialGroup i dodajte korisnike pilota. Probna grupa može da ima do 250 korisnika. Objekat HdsTrialGroup mora da bude sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali objekat grupe, izaberite ga u meniju Konfiguracija > Izbor objekta . (Za detaljna uputstva pogledajte Vodič za primenu Cisco konektora direktorijuma.)

                                                                                                                                                  Ključeve za dati prostor podešava tvorac prostora. Kada birate korisnike pilota, imajte na umu da ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici će izgubiti pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim aplikacije korisnika osveže svoje keširane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite okruženje

                                                                                                                                                  1

                                                                                                                                                  Izvrši početno podešavanje i preuzmi datoteke za instalaciju

                                                                                                                                                  Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.

                                                                                                                                                  2

                                                                                                                                                  Kreirajte ISO konfiguraciju za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste kreirali ISO datoteku za konfiguraciju za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instalirajte HDS organizatora OVA

                                                                                                                                                  Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što je mrežna podešavanja.

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje hibridne bezbednosti podataka

                                                                                                                                                  Prijavite se u VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i montirajte HDS konfiguraciju ISO

                                                                                                                                                  Konfigurišite VM iz ISO datoteke za konfiguraciju koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS oglasa za integraciju proxy servera

                                                                                                                                                  Ako je za okruženje mreže potrebna konfiguracija proksija, navedite tip proksija koji ćete koristiti za čvor i dodajte proksi sertifikat u skladište pouzdanosti ako je potrebno.

                                                                                                                                                  7

                                                                                                                                                  Registruj prvi čvor u klasteru

                                                                                                                                                  Registrujte VM sa oblakom Cisco Webex kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i pređite na proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne pokrenete probnu verziju, vaši čvorovi generišu alarm koji ukazuje da vaša usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi datoteke za instalaciju

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoju mašinu (ne na servere koje ste podesili kao čvorove za hibridnu bezbednost podataka). Ovu datoteku ćete koristiti kasnije u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com, a zatim izaberite stavku Usluge.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridne bezbednosti podataka, a zatim kliknite na Podesi.

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za nalog ili partnerskoj organizaciji. Dajte im vaš broj naloga i zamolite ih da omoguće vašoj organizaciji za hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na opremu u gornjem desnom uglu, pored imena vaše organizacije.

                                                                                                                                                  OVA datoteku možete da preuzmete i u bilo kom trenutku iz odeljka Pomoć na stranici Podešavanja . Na kartici Hibridna bezbednost podataka kliknite na Uredi podešavanja da biste otvorili stranicu. Zatim kliknite na Preuzmi softver za hibridnu bezbednost podataka u odeljku Pomoć .

                                                                                                                                                  Starije verzije paketa softvera (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može da dovede do problema prilikom nadogradnje aplikacije. Uverite se da ste preuzeli najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite Ne da biste naznačili da još uvek niste podesili čvor, a zatim kliknite na Dalje.

                                                                                                                                                  OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na mašini.
                                                                                                                                                  4

                                                                                                                                                  Ili kliknite na Otvori vodič za primenu da biste proverili da li je dostupna kasnija verzija ovog vodiča.

                                                                                                                                                  Kreirajte ISO konfiguraciju za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svog organizatora hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive Docker okruženja prilikom podizanja Docker kontejnera u koraku 5. Ova tabela daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    Http proksi bez provere autentičnosti

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi bez autentifikacije

                                                                                                                                                    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Http proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO datoteka konfiguracije koju generišete sadrži glavni ključ koji šifruje bazu podataka PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada izvršite promene konfiguracije, na primer:

                                                                                                                                                    • Akreditivi za bazu podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene politike autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze u bazi podataka, podesite primenu PostgreSQL ili SQL servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  U redovnim sredinama:

                                                                                                                                                  docker mi ciscocitg/hds-podešavanje:stabilno

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker mi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u Docker registar slika, unesite sledeće:

                                                                                                                                                  docker-у hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na poziv za lozinku unesite ovaj heš:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim sredinama:

                                                                                                                                                  docker vuče ciscocitg/hds-podešavanje:stabilno

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker vuče ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez punomoćnika:

                                                                                                                                                    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno
                                                                                                                                                  • U redovnim okruženjima sa http proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U regularnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proksija:

                                                                                                                                                    docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa http proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proksi:

                                                                                                                                                    docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Ekspresno slušanje servera na portu 8080."

                                                                                                                                                  6

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

                                                                                                                                                  Koristite veb-pregledač da biste otišli na lokalhost, http://127.0.0.1:8080i uneli korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi podesila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na Control Hub, a zatim kliknite na Prijavi da biste omogućili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici pregled alatke za podešavanje kliknite na Prvi koraci.

                                                                                                                                                  9

                                                                                                                                                  Na stranici ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate ISO datoteku za otpremanje.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, u pregledu izaberite ISO datoteku i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada ranije niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
                                                                                                                                                  • Ako je vaš sertifikat u redu, kliknite na Nastavi.
                                                                                                                                                  • Ako je sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavi da koristite lanac HDS sertifikata i privatni ključ iz prethodnog ISO-a?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na Nastavi.
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili podacima vašeg ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobijate polje za vrstu potvrde identiteta.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite tip potvrde identiteta:

                                                                                                                                                    • Osnovna potvrda identiteta: Potrebno vam je ime lokalnog naloga SQL servera u polju Korisničko ime .

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMEN u polju Username .

                                                                                                                                                  3. Unesite adresu servera baze podataka u obrazac : ili :.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    IP adresu možete da koristite za osnovnu potvrdu identiteta ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Unesite ime baze podataka.

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključa.

                                                                                                                                                  12

                                                                                                                                                  Izaberite režim veze sa bazom podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Poželjna je TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju sa šifrovanom vezom.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  Zahtevajte TLS i verifikujte potpisnika sertifikata

                                                                                                                                                  Ovaj režim nije primenljiv za SQL server baze podataka.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i verifikujte potpisnika sertifikata i ime domaćina

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka može da pregovara o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za izdavanje sertifikata u vrhovnom sertifikatu baze podataka. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe proveravaju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Baza podataka hosta i portova . Imena moraju da se podudaraju ili čvor prekida vezu.

                                                                                                                                                  Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite vrhovni sertifikat (ako je potrebno) i kliknete na Nastavi, alatka za podešavanje HDS-a testira TLS vezu sa serverom baze podataka. Alat takođe verifikuje potpisnika sertifikata i ime domaćina, ako je primenljivo. Ako test ne uspe, alatka prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezanosti, HDS čvorovi možda mogu da uspostave TLS vezu čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici Evidencije sistema, konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite URL adresu syslog servera.

                                                                                                                                                    Ako server ne može da reši DNS sa čvorova za vaš HDS klaster, koristite IP adresu u URL adresi.

                                                                                                                                                    Primer:
                                                                                                                                                    UDP://10.92.43.23:514 označava prijavljivanje na Syslogd organizatora 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako podesite server da koristi TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako označite ovo polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor prekida syslog zapisa odaberite odgovarajuće podešavanje za svoju ISO datoteku: Odaberite ili novi red se koristi za Graylog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Novi red -- \n—Izaberite ovaj izbor za Greylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) Podrazumevanu vrednost za neke parametre veze sa bazom podataka možete da promenite u naprednim podešavanjima. Generalno, ovaj parametar je jedini koji možda želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxVeličina: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na Nastavi na ekranu Resetuj lozinku naloga usluge .

                                                                                                                                                  Lozinke naloga za usluge imaju devetomesečni vek. Koristite ovaj ekran kada vaše lozinke uskoro ističu ili želite da ih resetujete tako da onesposobe prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu.

                                                                                                                                                  Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite rezervnu kopiju ISO datoteke za konfiguraciju. Potrebno je da kreirate više čvorova za oporavak ili da izvršite promene konfiguracije. Ako izgubite sve kopije ISO datoteke, izgubili ste i glavni ključ. Vraćanje ključeva iz baze podataka PostgreSQL ili Microsoft SQL servera nije moguće.

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo vam pomoći ako ga izgubite.

                                                                                                                                                  Instalirajte HDS organizatora OVA

                                                                                                                                                  Koristite ovaj postupak da biste kreirali virtuelnu mašinu iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na svom računaru da biste se prijavili na ESXi virtuelni host.

                                                                                                                                                  2

                                                                                                                                                  Izaberite stavku Datoteka > Primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na Dalje.

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite Ime virtuelne mašine za čvor (na primer, „HDS_Node_1“), izaberite lokaciju na kojoj primena čvora virtuelne mašine može da se nalazi, a zatim kliknite na Sledeće.

                                                                                                                                                  5

                                                                                                                                                  Na stranici Izbor izračunata resursa odaberite odredišni izračunati resurs, a zatim kliknite na Sledeće.

                                                                                                                                                  Provera valjanosti se pokreće. Kada se završi, pojaviće se detalji šablona.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje šablona i zatim kliknite na Dalje.

                                                                                                                                                  7

                                                                                                                                                  Ako od vas bude zatraženo da izaberete konfiguraciju resursa na stranici Konfiguracija , kliknite na 4 CPU , a zatim na Dalje.

                                                                                                                                                  8

                                                                                                                                                  Na stranici Izbor skladišta kliknite na Sledeće da biste prihvatili podrazumevani format diska i smernice za VM skladište.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža odaberite opciju mreže sa liste unosa da biste pružili željenu mogućnost povezivanja sa VM-om.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagodi šablon konfigurišite sledeća podešavanja mreže:

                                                                                                                                                  • Ime hosta– Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.
                                                                                                                                                    • Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju u oblaku, koristite samo male znakove u FQDN-u ili imenu hosta koje ste postavili za čvor. Trenutno nije podržano pisanje velikim slovima.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP adresa– Unesite IP adresu za interni interfejs čvora.

                                                                                                                                                    Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

                                                                                                                                                  • Mask—Unesite podmrežnu adresu maske u tačko-decimalnoj notaciji. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz– Unesite IP adresu mrežnog prolaza. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu DNS servera odvojenih zapetom, koji obrađuju prevod imena domena na numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite NTP server vaše organizacije ili drugi eksterni NTP server koji može da se koristi u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenih zapetom za unos više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN, tako da svi čvorovi u klasteru budu dostupni od klijenata u vašoj mreži u administrativne svrhe.

                                                                                                                                                  Ukoliko želite, možete da preskočite konfiguraciju podešavanja mreže i pratite korake u opciji Podešavanje hibridne bezbednosti podataka VM da biste konfigurisali podešavanja sa konzole čvora.

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom OVA primene testirana je sa ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na VM čvor, a zatim izaberite Napajanje > Napajanje uključeno.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da se prijavite u konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Možete doživeti kašnjenje nekoliko minuta pre nego što se pojave kontejneri čvora. Na konzoli se pojavljuje poruka zaštitnog zida mosta tokom prvog pokretanja, tokom kojeg ne možete da se prijavite.

                                                                                                                                                  Podešavanje hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru da biste se prvi put prijavili u VM konzolu čvora za hibridnu bezbednost podataka i podesili akreditive za prijavljivanje. Konzolu možete da koristite i za konfigurisanje podešavanja mreže za čvor ako ih niste konfigurisali u vreme OVA primene.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite VM čvor za hibridnu bezbednost podataka i izaberite karticu Konzola .

                                                                                                                                                  VM se pokreće i pojavljuje se upit za prijavu. Ako se upit za prijavljivanje ne prikazuje, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu prijavu i lozinku da biste se prijavili i promenili akreditive:

                                                                                                                                                  1. Дојење: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se prvi put prijavljujete u svoj VM, potrebno je da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u opciji Instaliraj HDS organizatora OVA, preskočite ostatak ovog postupka. U suprotnom, u glavnom meniju izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičku konfiguraciju sa informacijama o IP adresi, maski, mrežnom prolazu i DNS. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP servera ako je potrebno da biste se podudarali sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podešavate domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte konfiguraciju mreže i ponovo pokrenite VM da bi promene stupile na snagu.

                                                                                                                                                  Otpremite i montirajte HDS konfiguraciju ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pošto ISO datoteka ima glavni ključ, ona treba da bude izložena samo na osnovu „need to know“, za pristup od strane VM-ova za hibridnu bezbednost podataka i svih administratora koji će možda morati da promene. Uverite se da samo ti administratori mogu da pristupe podacima.

                                                                                                                                                  1

                                                                                                                                                  Otpremite ISO datoteku sa svog računara:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere, kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na dugme Skladištenje.

                                                                                                                                                  3. Na listi Skladišta podataka kliknite desnim tasterom miša na podatke za VM-ove i kliknite na Pregledaj podatke.

                                                                                                                                                  4. Kliknite na ikonu Otpremi datoteke, a zatim kliknite na Otpremi datoteku.

                                                                                                                                                  5. Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na svom računaru i kliknite na Otvori.

                                                                                                                                                  6. Kliknite na Da da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog podataka.

                                                                                                                                                  2

                                                                                                                                                  Montirajte ISO datoteku:

                                                                                                                                                  1. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

                                                                                                                                                  2. Kliknite na U redu da biste prihvatili upozorenje za ograničene opcije uređivanja.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montažu iz ISO datoteke podataka i pregledajte lokaciju na kojoj ste otpremili ISO datoteku za konfiguraciju.

                                                                                                                                                  4. Označite opciju Povezano i Poveži kada je uključeno.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da poništite ISO datoteku nakon što svi vaši čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (Opcionalno) Uklonite ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS oglasa za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  1

                                                                                                                                                  Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

                                                                                                                                                  2

                                                                                                                                                  Idite na Trust Store & Proxy , azatim odaberite opciju:

                                                                                                                                                  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
                                                                                                                                                  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
                                                                                                                                                  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

                                                                                                                                                    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

                                                                                                                                                    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

                                                                                                                                                    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nema– Nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proksije.

                                                                                                                                                      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proksije.

                                                                                                                                                        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

                                                                                                                                                      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proksije.

                                                                                                                                                        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

                                                                                                                                                  Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

                                                                                                                                                  Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

                                                                                                                                                  Node se ponovo pokreće u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

                                                                                                                                                  Registruj prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak uzima generički čvor koji ste kreirali u VM-u Podešavanje hibridne bezbednosti podataka, registruje čvor sa Webex oblakom i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je čvor dodeljen. Klaster sadrži jedan ili više čvorova koji su raspoređeni za obezbeđivanje redundantnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju na levoj strani ekrana izaberite stavku Usluge.

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na Podesi.

                                                                                                                                                  Pojaviće se stranica čvora za hibridnu bezbednost podataka.
                                                                                                                                                  4

                                                                                                                                                  Izaberite Da biste naznačili da ste podesili čvor i da ste spremni da ga registrujete, a zatim kliknite na Dalje.

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime za klaster kojem želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera geografski nalaze. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dalje.

                                                                                                                                                  Ova IP adresa ili FQDN treba da se podudaraju sa IP adresom ili imenom hosta i domenom koji ste koristili u odeljku Podešavanje hibridne bezbednosti podataka VM.

                                                                                                                                                  Pojavljuje se poruka koja pokazuje da svoj čvor možete da registrujete u Webex-u.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na Idi u čvor.

                                                                                                                                                  8

                                                                                                                                                  Kliknite na Nastavi u poruci upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

                                                                                                                                                  Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici Hibridna bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u klaster, jednostavno kreirate dodatne VM-ove i montirate istu ISO datoteku za konfiguraciju, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                  U ovom trenutku, rezervne VM-ove koje ste kreirali u odeljku Ispunite preduslove za hibridnu bezbednost podataka su organizatori u stanju pripravnosti koji se koriste samo u slučaju oporavka od katastrofe; do tada nisu registrovani na sistemu. Više detalja potražite u članku Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada pokrenete registraciju čvora, morate da je završite u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi iskačući blokatori u vašem pregledaču onemogućeni ili da omogućite izuzetak za admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelnu mašinu iz OVA-e ponavljajući korake u članku Instaliranje HDS organizatora OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom VM-u ponavljajući korake u opciji Podešavanje hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Na novom VM-u ponovite korake u opciji Otpremi i montirajte HDS konfiguraciju.

                                                                                                                                                  4

                                                                                                                                                  Ako podešavate proksi za primenu, ponovite korake u opciji Konfiguriši HDS čvor za integraciju proksija po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comizaberite usluge u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu hibridne bezbednosti podataka i kliknite na Resursi.

                                                                                                                                                    Pojaviće se stranica „Resursi za hibridnu bezbednost podataka“.
                                                                                                                                                  3. Kliknite na Dodaj resurs.

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FQDN) čvora i kliknite na Dalje.

                                                                                                                                                    Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na Idi u čvor.

                                                                                                                                                    Nakon nekoliko trenutaka, bićete preusmereni na testove povezivanja čvora za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica „Dozvoli pristup hibridnoj bezbednosti podataka“. Tamo potvrđujete da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Potvrdite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na Nastavi.

                                                                                                                                                    Vaš nalog je potvrđen i poruka „Završena registracija“ ukazuje na to da je vaš čvor sada registrovan na Webex oblak.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne pokrenete probnu verziju, vaši čvorovi generišu alarm koji ukazuje da vaša usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i pređite na proizvodnju (sledeće poglavlje)

                                                                                                                                                  Pokrenite probnu verziju i pređite na proizvodnju

                                                                                                                                                  Probna verzija u tok zadatka proizvodnje

                                                                                                                                                  Nakon što podesite klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u pripremi za prelazak na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte objekat grupe HdsTrialGroup .

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete objekat grupe HdsTrialGroup za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju. Za uputstva, pogledajte Vodič za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne uradite ovaj zadatak, vaši čvorovi generišu alarm koji ukazuje da usluga još uvek nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte svoju primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledajte hibridnu bezbednost podataka

                                                                                                                                                  Proverite status i podesite obaveštenja e-poštom za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodajte ili uklonite korisnike iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu nekim od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete objekat grupe HdsTrialGroup za sinhronizaciju sa oblakom pre nego što možete da pokrenete probnu verziju za svoju organizaciju. Za uputstva, pogledajte Vodič za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru stavke Hibridna bezbednost podataka kliknite na dugme Podešavanja.

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na Pokreni probnu verziju.

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na Dodaj korisnike i unesite e-adresu jednog ili više korisnika za pilot korišćenje čvorova za hibridnu bezbednost podataka za šifrovanje i indeksiranje usluga.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory za upravljanje probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte svoju primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Ključeve za dati prostor podešava tvorac prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite barem jednog pilot korisnika i jednog nepilota korisnika.

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće biti dostupan kada se zamenjuju kopije ključeva za šifrovanje klijenta.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke novom prostoru.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz sistema da biste potvrdili da se ključni zahtevi prosleđuju vašoj primeni hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal na KMS, filtrirajte na kms.data.method=kreiraj i kms.data.type=EFEMERNA_KOLEKCIJA_KLJUČA:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je sledeći (identifikatori su skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Омиљено: kms://hds2.org5.portun.us/statickeys/3[~]0 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_кључ_комшија, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li ima korisnika koji zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=preuzimanje i kms.data.type=KLJUČ:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_f[~]0, kms.data.method=preuzimanje, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KLJUČ, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=kreiraj i kms.data.type=KOLEKCIJU_KLJUČA:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] je primljen, uređajId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_4[~]0, kms.data.method=kreiranje, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KLJUČ_комшија, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=COLLECTION_RESOURCE:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] je primljen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Омиљено: kms://hds2.org5.portun.us/ecdhe/5[~]1 (ŠifrovanjeKmsMessageHandler.java:312) WEBEX_Лекције - HdsIntTest_d[~]0, kms.data.method=kreiranje, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_комшија, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledajte hibridnu bezbednost podataka

                                                                                                                                                  Indikator statusa u okviru Control Hub vam pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka. Za proaktivnija upozorenja registrujte se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  Na platformi Control Hub izaberite Usluge u meniju sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na Podešavanja.

                                                                                                                                                  Pojaviće se stranica „Podešavanja hibridne bezbednosti podataka“.
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodajte ili uklonite korisnike iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku dok je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključeva iz KMS-a u oblaku umesto vašeg KMS-a. Ako je klijentu potreban ključ koji je uskladišten na vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ovog postupka) za upravljanje probnom grupom, HdsTrialGroup; možete da vidite članove grupe na platformi Control Hub, ali ne možete da ih dodate ili uklonite.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite stavku Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru stavke Hibridna bezbednost podataka kliknite na dugme Podešavanja.

                                                                                                                                                  3

                                                                                                                                                  U odeljku Režim probne verzije u oblasti Status usluge kliknite na Dodaj korisnike ili kliknite na Prikaži i uredi da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresu jednog ili više korisnika koje želite da dodate ili kliknite na X pored ID-a korisnika da biste ga uklonili iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Pređite sa probne verzije na proizvodnju

                                                                                                                                                  Kada ste se uverili da vaša primena dobro funkcioniše za probne korisnike, možete preći na proizvodnju. Kada pređete na proizvodnju, svi korisnici u organizaciji će koristiti vaš lokalni domen za hibridnu bezbednost podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete da se vratite u probni režim iz proizvodnje ako ne deaktivirate uslugu kao deo oporavka od katastrofe. Da biste ponovo aktivirali uslugu, potrebno je da podesite novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite stavku Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru stavke Hibridna bezbednost podataka kliknite na dugme Podešavanja.

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na dugme Pređi na proizvodnju.

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da sve svoje korisnike premestite u proizvodnju.

                                                                                                                                                  Završite svoju probnu verziju bez prelaska na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da nastavite sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta korisnike probne verzije nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su bili šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite stavku Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru stavke Hibridna bezbednost podataka kliknite na dugme Podešavanja.

                                                                                                                                                  3

                                                                                                                                                  U odeljku Deaktiviraj kliknite na dugme Deaktiviraj.

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite ovde opisane zadatke da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Postavi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka se obavljaju automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade istu verziju softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate opciju ručno nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored od 3:00 ujutru Sjedinjene Američke Države: Amerika/Los Anđeles. Ako je potrebno, možete i da odložite predstojeću nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Kontrolni centar.

                                                                                                                                                  2

                                                                                                                                                  Na stranici „Pregled“, u okviru stavke Hibridne usluge izaberite Hibridna bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici „Resursi za hibridnu bezbednost podataka“ izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na panelu „Pregled“ na desnoj strani, u okviru opcije „Podešavanja klastera“ izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici Podešavanja, u okviru Nadogradnja izaberite vreme i vremensku zonu za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Ako je potrebno, nadogradnju možete da odložite na sledeći dan tako što ćete kliknuti na Odloži.

                                                                                                                                                  Promeni konfiguraciju čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog oglasa za bezbednost podataka sa razlogom kao što je:
                                                                                                                                                  • Promena x.509 sertifikata zbog isteka ili drugih razloga.

                                                                                                                                                    Ne podržavamo promenu naziva CN domena sertifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.

                                                                                                                                                    Ne podržavamo premeštanje podataka sa PostgreSQL na Microsoft SQL Server ili u suprotnom smeru. Da biste promenili okruženje baze podataka, započnite novo uvođenje Hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremu novog data centra.

                                                                                                                                                  Takođe, u bezbednosne svrhe, Hibridna bezbednost podataka koristi lozinke naloga usluga koje imaju devetomesečni vek trajanja. Nakon što alatka za instalaciju HDS-a generiše ove lozinke, primenite ih na svaki HDS čvor u ISO konfig datoteci. Kada se lozinke vaše organizacije bliže isteku, dobijate obaveštenje od Webex tima da biste poništili lozinku za svoj nalog računara. (Imejl sadrži tekst, „Koristite API za nalog mašine da biste ažurirali lozinku.") Ako vam lozinke još nisu istekle, alat vam pruža dve opcije:

                                                                                                                                                  • Softversko resetovanje – Stare i nove lozinke rade i do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – Stare lozinke odmah prestaju da rade.

                                                                                                                                                  Ako lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući trenutno teško resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru za generisanje nove konfiguracione ISO datoteke i primenite je na klaster.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  • HDS alatka za podešavanje radi kao Docker kontejner na lokalnoj mašini. Za pristup, pokreni Docker na toj mašini. Proces instalacije zahteva akreditive naloga kontrolnog čvorišta sa punim administratorskim pravima za vašu organizaciju.

                                                                                                                                                    Ako se alatka za podešavanje HDS-a pokreće iza proxy servera u vašem okruženju, obezbedite podešavanja proxy servera (server, port, akreditivi) kroz promenljive okruženja Docker prilikom uvođenja Docker kontejnera u 1.e. Ova tabela daje neke moguće varijable okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    Http proksi bez provere autentičnosti

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi bez autentifikacije

                                                                                                                                                    GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Http proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT_HTTP_PROXY=http://username:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proksi sa autentifikacijom

                                                                                                                                                    GLOBALNI_AGENT_HTTPS_PROXY=http://username:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifruje PostgreSQL ili Microsoft SQL Server bazu podataka. ISO vam je potreban kada menjate konfiguraciju, uključujući akreditive za bazu podataka, ažuriranja sertifikata ili promene smernica za autorizaciju.

                                                                                                                                                  1

                                                                                                                                                  Koristeći Docker na lokalnoj mašini, pokrenite HDS alatku za podešavanje.

                                                                                                                                                  1. Na komandnoj liniji mašine unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    U redovnim sredinama:

                                                                                                                                                    docker mi ciscocitg/hds-podešavanje:stabilno

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker mi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Ovaj korak čisti prethodne slike HDS alata za podešavanje. Ako nema prethodnih slika, vraća grešku koju možete da ignorišete.

                                                                                                                                                  2. Da biste se prijavili u Docker registar slika, unesite sledeće:

                                                                                                                                                    docker-у hdscustomersro
                                                                                                                                                  3. Na poziv za lozinku unesite ovaj heš:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim sredinama:

                                                                                                                                                    docker vuče ciscocitg/hds-podešavanje:stabilno

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker vuče ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Obavezno povucite najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez punomoćnika:

                                                                                                                                                      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-podešavanje:stabilno
                                                                                                                                                    • U redovnim okruženjima sa http proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proksija:

                                                                                                                                                      docker pokretanje -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa http proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proksi:

                                                                                                                                                      docker run -p 8080:8080 --rm -it-e GLOBALNI_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, videćete "Express server osluškuje na portu 8080".

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa localhostom, http://127.0.0.1:8080.

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalalhost putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalorganizatorom.

                                                                                                                                                  7. Unesite akreditive za prijavljivanje kupca na Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu konfiguraciju ISO datoteke.

                                                                                                                                                  9. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Napravite rezervnu kopiju ažurirane datoteke u drugom data centru.

                                                                                                                                                  2

                                                                                                                                                  Ako je pokrenut samo jedan HDS čvor, kreirajte novi VM čvor za hibridnu bezbednost podataka i registrujte ga pomoću nove ISO datoteke za konfiguraciju. Detaljnije uputstva potražite u članku Kreiranje i registracija više čvorova.

                                                                                                                                                  1. Instalirajte HDS host JAJAŠCA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Montirajte ažuriranu konfiguracionu datoteku.

                                                                                                                                                  4. Registrujte novi oglas u kontrolnom čvorištu.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeći postupak na svakom čvoru redom, ažurirajući svaki čvor pre nego što isključite sledeći čvor:

                                                                                                                                                  1. Isključi virtuelnu mašinu.

                                                                                                                                                  2. U levom navigacionom oknu klijenta VMware vSphere kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.

                                                                                                                                                  3. Kliknite na CD/DVD jedinicu 1, izaberite opciju za montiranje iz ISO datoteke i potražite lokaciju na kojoj ste preuzeli novu isO datoteku konfiguracije.

                                                                                                                                                  4. Proverite Connect na napajanju.

                                                                                                                                                  5. Sačuvajte promene i uključite virtuelnu mašinu.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

                                                                                                                                                  Pre nego što počneš

                                                                                                                                                  Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme Proveri proxy vezu.

                                                                                                                                                  Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

                                                                                                                                                  Šta dalje

                                                                                                                                                  Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru da biste uklonili čvor za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili na ESXi virtuelni host i isključili virtuelnu mašinu.

                                                                                                                                                  2

                                                                                                                                                  Ukloni čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite stavku Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na Prikaži sve da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali panel sa pregledom.

                                                                                                                                                  4. Kliknite na Otvori listu čvorova.

                                                                                                                                                  5. Na kartici „Čvorovi“ izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na Radnje > Odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U klijentu vSphere, izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite na Izbriši.)

                                                                                                                                                  Ako ne izbrišete VM, ne zaboravite da deinstalirate ISO datoteku za konfiguraciju. Bez ISO datoteke ne možete da koristite VM za pristup bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u stanju pripravnosti

                                                                                                                                                  Najvažnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugih sadržaja uskladištenih u Webex oblaku. Za svakog korisnika u okviru organizacije koji je dodeljen hibridnoj bezbednosti podataka, zahtevi za kreiranje novih ključeva usmeravaju se do klastera. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima ovlašćenim da ih preuzme, na primer, članovima prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održe odgovarajuća rezerva. Gubitak baze podataka o hibridnoj bezbednosti podataka ili ISO konfiguracije koje se koristi za šemu rezultiraće NEPOPRAVLJIVIM GUBITKOM sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru podataka postane nedostupno, pratite ovaj postupak da biste ručno preuzeli centar podataka u stanju pripravnosti.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiraj ISO konfiguraciju za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon konfigurisanja Syslogd servera, kliknite na Napredna podešavanja

                                                                                                                                                  3

                                                                                                                                                  Na stranici Napredna podešavanja dodajte konfiguraciju u nastavku ili uklonite pasivniMode konfiguraciju da biste čvor učinili aktivnim. Čvor može da obrađuje saobraćaj kada ovo konfiguriše.

                                                                                                                                                   pasivniRežim: 'netačno' 

                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju ISO datoteke na lokalnom sistemu. Neka rezervna kopija bude bezbedna. Ova datoteka sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo na one administratore za hibridnu bezbednost podataka koji bi trebalo da promene konfiguraciju.

                                                                                                                                                  6

                                                                                                                                                  U levom oknu za navigaciju klijenta VMware vSphere, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja..

                                                                                                                                                  7

                                                                                                                                                  Kliknite na Uredi postavke >CD/DVD Drive 1 i izaberite ISO datoteku podataka.

                                                                                                                                                  Uverite se da su proverene opcije Connected i Connect koje je uključeno tako da ažurirane promene konfiguracije mogu da stupe na snagu nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u centru podataka u stanju pripravnosti.

                                                                                                                                                  Proverite izlaz sistema da biste potvrdili da čvorovi centra podataka u stanju pripravnosti nisu u pasivnom režimu. „KMS konfigurisan u pasivnom režimu“ ne bi trebalo da se pojavljuju u sistemskim datotekama.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon greške, ako primarni centar podataka ponovo postane aktivan, ponovo postavite centar podataka u pasivni režim tako što ćete slediti korake opisane u Podešavanje centra podataka u stanju pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Uklonite ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa montiranim ISO-om. Međutim, neki kupci više vole da ne ostavljaju ISO datoteke stalno montirane. Možete da deinstalirate ISO datoteku nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite ISO datoteke za menjanje konfiguracije. Kada kreirate novi ISO ili ažurirate ISO putem alatke za podešavanje, morate da montirate ažurirani ISO na sve HDS čvorove. Kada svi vaši čvorovi preuzmu promene konfiguracije, možete ponovo da poništite ISO pomoću ove procedure.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Zatvorite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter serveru izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite opciju "Uredi podešavanja" > CD/DVD disk i opozovite izbor ISO datoteke sa podacima.

                                                                                                                                                  4

                                                                                                                                                  Uključite napajanje na HDS čvoru i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Ponovi za svaki HDS čvor.

                                                                                                                                                  Rešavanje problema hibridne bezbednosti podataka

                                                                                                                                                  Prikaz upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni ili klaster radi toliko sporo da zahteva vremensko ograničenje. Ako korisnici ne mogu da dosegnu vaš klaster hibridne bezbednosti podataka, doživljavaju sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici su dodati prostoru (nije moguće preuzeti tastere)

                                                                                                                                                    • Postojeći korisnici u prostoru koristeći novog klijenta (ne mogu da dohvatim ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti uspešno da rade sve dok njihovi klijenti imaju keš memoriju ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster za hibridnu bezbednost podataka i da pravovremeno rešite sva upozorenja kako biste izbegli prekide usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke na konfigurisanu e-adresu. Upozorenja pokrivaju mnoge uobičajene scenarije.

                                                                                                                                                  Tabela 1. Uobičajeni problemi i koraci za njihovo rešavanje

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Otkazivanje pristupa lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li postoje greške u bazi podataka ili problemi sa lokalnom mrežom.

                                                                                                                                                  Lokalna veza baze podataka nije uspela.

                                                                                                                                                  Proverite da li je server baze podataka dostupan i da li su tačni akreditivi naloga usluge korišćeni u konfiguraciji čvora.

                                                                                                                                                  Pristup usluzi u oblaku nije uspeo.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u Zahtevima spoljnog povezivanja.

                                                                                                                                                  Obnavljanje registracije usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. U toku je obnavljanje registracije.

                                                                                                                                                  Registracija usluge u oblaku je opala.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se isključuje.

                                                                                                                                                  Usluga još nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite premeštanje probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sa sertifikatom servera.

                                                                                                                                                  Uverite se da se sertifikat servera podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatnije razlog je to što je CN sertifikat nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite da li su tačni i mogući rok isteka akreditiva naloga za uslugu.

                                                                                                                                                  Otvaranje datoteke lokalne tastature nije uspelo.

                                                                                                                                                  Proverite da li postoji integritet i tačnost lozinke u lokalnoj datoteci prodavnice ključeva.

                                                                                                                                                  Sertifikat lokalnog servera je nevažeći.

                                                                                                                                                  Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za izdavanje sertifikata.

                                                                                                                                                  Nije moguće objaviti metriku.

                                                                                                                                                  Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO montera na virtuelnom organizatoru. Proverite da li ISO datoteka postoji, da li je konfigurisana da se montira na ponovno pokretanje i da li se uspešno montira.

                                                                                                                                                  Rešavanje problema hibridne bezbednosti podataka

                                                                                                                                                  Koristite sledeće opšte smernice prilikom rešavanja problema sa hibridnom bezbednošću podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub da biste dobili upozorenja i ispravili sve stavke koje se tamo nalaze.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se podršci kompanije Cisco.

                                                                                                                                                  Druge napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster za hibridnu bezbednost podataka (brisanjem na portalu Control Hub ili isključivanjem svih čvorova), izgubite ISO konfiguracionu datoteku ili izgubite pristup ključnoj bazi podataka, korisnici aplikacije Webex više ne mogu da koriste razmake u okviru liste „Osobe“ koji su kreirani ključevima iz vašeg KMS-a. Ovo se primenjuje i na probne i na proizvodne primene. Trenutno nemamo zaobilazno rešenje za ovaj problem i pozivamo vas da ne zatvorite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika će nastaviti da koristi postojeću ECDH vezu sve dok ne istekne vreme. Osim toga, korisnik može da se odjavi i ponovo prijavi u aplikaciju Webex da bi ažurirao lokaciju koju aplikacija kontakti za šifrovanje.

                                                                                                                                                    Isto ponašanje se javlja kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probne verzije sa postojećim ECDH vezama sa prethodnim uslugama bezbednosti podataka nastaviće da koriste te usluge sve dok se ECDH veza ne promeni (preko vremenskog ograničenja ili odjavljivanjem i ponovnim prijavljivanjem).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedan alat koji se može koristiti za pravljenje PKCS12 datoteke u odgovarajućem formatu za učitavanje u HDS alatki za podešavanje. Postoje i drugi načini da se to uradi, a mi ne podržavamo niti promovišemo jedan način na drugi.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, obezbeđujemo ovu proceduru kao smernicu kako bismo vam pomogli da kreirate datoteku koja ispunjava zahteve za sertifikat X.509 u X.509 zahtevima za sertifikat. Razumete ove zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržano okruženje. Pogledajte https://www.openssl.org za softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovaj postupak kada dobijete sertifikat servera od vašeg autoriteta za izdavanje sertifikata (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada dobijete sertifikat servera od CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i proverite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata nazvanu hdsnode-bundle.pem. Datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i osnovne CA sertifikate, u formatu u nastavku:

                                                                                                                                                  -----BEGIN SERTIFIKAT------ ## Sertifikat servera. ### -------END SERTIFIKAT------------------ ### PosredNI CA sertifikat. ### ---------END SERTIFIKAT------------ ### Vrhovni CA sertifikat. ### --------END SERTIFIKAT-----

                                                                                                                                                  4

                                                                                                                                                  Kreirajte .p12 datoteku sa prijateljskim imenom kms-privatni ključ.

                                                                                                                                                  openssl pkcs12 -izvezi -inkey hdsnode.ključ -u hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikata servera.

                                                                                                                                                  1. укључен pkcs12 - hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit da biste šifrovali privatni ključ tako da bude naveden u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-privatni ključ.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -u hdsnode.p12 Unesite Lozinku Za Uvoz: Atributi OK torbe atributi friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi:  Unesite frazu za PEM prolaz: Potvrda – Unesite frazu za prolaz PEM: -----ZAPOČNI ŠIFROVANI PRIVATNI KLJUČ------  ------END ŠIFROVANI PRIVATNI KLJUČ------- Atributi Torbe friendlyName: kms-privatni-ključ lokalniKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN SERTIFIKAT-----  ----END SERTIFIKAT------ Bag Attributes friendlyName: CN=Hajde da šifrujemo autoritet X3,O=Hajde da šifrujemo,C=US subject=/C=US/O=Hajde da šifrujemo/CN=Hajde da šifrujemo autoritet X3 izdavač=/O=Poverenje Digitalnog potpisa Ko./CN=DST Root CA X3 ------BEGIN SERTIFIKAT-----  -----END SERTIFIKAT-------

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se na opciju Ispunite preduslove za hibridnu bezbednost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u okviru stavke Kreiraj konfiguraciju ISO za HDS organizatore.

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Odlazni pokazatelji prikupljanja odlaznih pokazatelja saobraćaja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene metrike Webex oblaku. U njih spadaju metrika sistema za maks. broj, korišćenu heap, CPU učitavanje i broj konverzacija; metrika na sinhronizovanim i asinhroni niti; metrika na upozorenjima koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; metrika na podacima, i metrika veze za šifrovanje. Čvorovi šalju šifrovani materijal za ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata koji se usmeravaju uslugom šifrovanja

                                                                                                                                                  • Nadogradnje na softver čvora

                                                                                                                                                  Konfigurisanje proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera sa lignjama

                                                                                                                                                  Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte on_unsupported_protocol direktivu na squid.conf:

                                                                                                                                                  on_unsupported_protocol tunel sve

                                                                                                                                                  Lignje 3.5.27

                                                                                                                                                  Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve
                                                                                                                                                  Da li je ovaj članak bio koristan?
                                                                                                                                                  Da li je ovaj članak bio koristan?