Možde primećujete da neki članci ne prikazuju usaglašen sadržaj. Izvinjavamo se na prašnjavim stvarima, radimo na ažuriranju lokacije.
cross icon
U ovom članku
dropdown icon
Predgovor
    Nove i promenjene informacije
    dropdown icon
    Prvi koraci sa hibridnom zaštitom podataka
      Pregled hibridne bezbednosti podataka
        dropdown icon
        Arhitektura bezbednosnog područja
          Područja razdvojenosti (bez hibridne bezbednosti podataka)
        Saradnja sa drugim organizacijama
          Očekivanja za primenu hibridne bezbednosti podataka
            Proces podešavanja visokog nivoa
              dropdown icon
              Model primene hibridne bezbednosti podataka
                Model primene hibridne bezbednosti podataka
              Probni režim hibridne bezbednosti podataka
                dropdown icon
                Centar podataka u pripravnosti za oporavak od katastrofe
                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
                Proksi podrška
                dropdown icon
                Pripremite okruženje
                  dropdown icon
                  Zahtevi za hibridnu bezbednost podataka
                    Cisco Webex licence
                    Zahtevi za docker radnu površinu
                    X.509 zahtevi za sertifikat
                    Zahtevi virtuelnog organizatora
                    Zahtevi servera baze podataka
                    Zahtevi za spoljno povezivanje
                    Zahtevi proxy servera
                  Ispunite preduslove za hibridnu bezbednost podataka
                  dropdown icon
                  Podešavanje klastera hibridne bezbednosti podataka
                    Tok zadatka primene hibridne bezbednosti podataka
                      Preuzmi instalacione datoteke
                        Kreiranje konfiguracije ISO za HDS organizatore
                          Instaliraj HDS host OVA
                            Podešavanje funkcije hibridne bezbednosti podataka VM
                              Otpremite i postavite HDS ISO
                                Konfigurisanje HDS oglasa za integraciju proxy servera
                                  Registrujte prvi čvor u klasteru
                                    Kreirajte i registrujte više čvorova
                                    dropdown icon
                                    Pokrenite probnu verziju i premestite se u proizvodnju
                                      Probna verzija do toka zadatka proizvodnje
                                        Aktiviraj probnu verziju
                                          Testirajte primenu hibridne bezbednosti podataka
                                            Nadgledanje ispravne hibridne bezbednosti podataka
                                              Dodavanje ili uklanjanje korisnika iz probne verzije
                                                Premesti sa probne verzije na proizvodnju
                                                  Završite probnu verziju bez premeštanja na proizvodnju
                                                  dropdown icon
                                                  Upravljajte HDS primenom
                                                    Upravljaj HDS primenom
                                                      Podesi raspored nadogradnje klastera
                                                        Promena konfiguracije čvora
                                                          Isključi blokirani režim spoljne DNS rezolucije
                                                            Uklanjanje čvora
                                                              Oporavak od katastrofe pomoću centra podataka u pripravnosti
                                                                (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
                                                                dropdown icon
                                                                Rešavanje problema sa hibridnom zaštitom podataka
                                                                  Prikaži upozorenja i rešavanje problema
                                                                    dropdown icon
                                                                    Obaveštenja
                                                                      Zajednički problemi i koraci za rešavanje njih
                                                                    Rešavanje problema sa hibridnom zaštitom podataka
                                                                    dropdown icon
                                                                    Ostale napomene
                                                                      Poznati problemi za hibridnu bezbednost podataka
                                                                        Koristite OpenSSL za generisanje PKCS12 datoteke
                                                                          Saobraćaj između HDS čvorova i oblaka
                                                                            dropdown icon
                                                                            Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
                                                                              Websocket ne može da se poveže preko proxy servera sa lignjama
                                                                          U ovom članku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Predgovor
                                                                            Nove i promenjene informacije
                                                                            dropdown icon
                                                                            Prvi koraci sa hibridnom zaštitom podataka
                                                                              Pregled hibridne bezbednosti podataka
                                                                                dropdown icon
                                                                                Arhitektura bezbednosnog područja
                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)
                                                                                Saradnja sa drugim organizacijama
                                                                                  Očekivanja za primenu hibridne bezbednosti podataka
                                                                                    Proces podešavanja visokog nivoa
                                                                                      dropdown icon
                                                                                      Model primene hibridne bezbednosti podataka
                                                                                        Model primene hibridne bezbednosti podataka
                                                                                      Probni režim hibridne bezbednosti podataka
                                                                                        dropdown icon
                                                                                        Centar podataka u pripravnosti za oporavak od katastrofe
                                                                                          Podešavanje centra podataka u pripravnosti za oporavak od katastrofe
                                                                                        Proksi podrška
                                                                                        dropdown icon
                                                                                        Pripremite okruženje
                                                                                          dropdown icon
                                                                                          Zahtevi za hibridnu bezbednost podataka
                                                                                            Cisco Webex licence
                                                                                            Zahtevi za docker radnu površinu
                                                                                            X.509 zahtevi za sertifikat
                                                                                            Zahtevi virtuelnog organizatora
                                                                                            Zahtevi servera baze podataka
                                                                                            Zahtevi za spoljno povezivanje
                                                                                            Zahtevi proxy servera
                                                                                          Ispunite preduslove za hibridnu bezbednost podataka
                                                                                          dropdown icon
                                                                                          Podešavanje klastera hibridne bezbednosti podataka
                                                                                            Tok zadatka primene hibridne bezbednosti podataka
                                                                                              Preuzmi instalacione datoteke
                                                                                                Kreiranje konfiguracije ISO za HDS organizatore
                                                                                                  Instaliraj HDS host OVA
                                                                                                    Podešavanje funkcije hibridne bezbednosti podataka VM
                                                                                                      Otpremite i postavite HDS ISO
                                                                                                        Konfigurisanje HDS oglasa za integraciju proxy servera
                                                                                                          Registrujte prvi čvor u klasteru
                                                                                                            Kreirajte i registrujte više čvorova
                                                                                                            dropdown icon
                                                                                                            Pokrenite probnu verziju i premestite se u proizvodnju
                                                                                                              Probna verzija do toka zadatka proizvodnje
                                                                                                                Aktiviraj probnu verziju
                                                                                                                  Testirajte primenu hibridne bezbednosti podataka
                                                                                                                    Nadgledanje ispravne hibridne bezbednosti podataka
                                                                                                                      Dodavanje ili uklanjanje korisnika iz probne verzije
                                                                                                                        Premesti sa probne verzije na proizvodnju
                                                                                                                          Završite probnu verziju bez premeštanja na proizvodnju
                                                                                                                          dropdown icon
                                                                                                                          Upravljajte HDS primenom
                                                                                                                            Upravljaj HDS primenom
                                                                                                                              Podesi raspored nadogradnje klastera
                                                                                                                                Promena konfiguracije čvora
                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije
                                                                                                                                    Uklanjanje čvora
                                                                                                                                      Oporavak od katastrofe pomoću centra podataka u pripravnosti
                                                                                                                                        (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije
                                                                                                                                        dropdown icon
                                                                                                                                        Rešavanje problema sa hibridnom zaštitom podataka
                                                                                                                                          Prikaži upozorenja i rešavanje problema
                                                                                                                                            dropdown icon
                                                                                                                                            Obaveštenja
                                                                                                                                              Zajednički problemi i koraci za rešavanje njih
                                                                                                                                            Rešavanje problema sa hibridnom zaštitom podataka
                                                                                                                                            dropdown icon
                                                                                                                                            Ostale napomene
                                                                                                                                              Poznati problemi za hibridnu bezbednost podataka
                                                                                                                                                Koristite OpenSSL za generisanje PKCS12 datoteke
                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka
                                                                                                                                                      Websocket ne može da se poveže preko proxy servera sa lignjama
                                                                                                                                                  Vodič za primenu webex hibridne bezbednosti podataka
                                                                                                                                                  list-menuU ovom članku
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6. Koristite pregledač da biste se povezali sa lokalhostom, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  7. Kada budete upitani, unesite akreditive za prijavljivanje kupaca na portal Control Hub, a zatim kliknite na Prihvati da biste nastavili.

                                                                                                                                                  8. Uvezite trenutnu ISO datoteku za konfiguraciju.

                                                                                                                                                  9. Sledite odzive da biste dovršili alatku i preuzeli ažuriranu datoteku.

                                                                                                                                                    Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  10. Kreirajte rezervnu kopiju ažurirane datoteke u drugom centar za podatke.

                                                                                                                                                  2

                                                                                                                                                  Ako imate samo jedan HDS čvor, kreirajte novi čvor za hibridnu bezbednost podataka VM i registrujte ga koristeći novu ISO datoteku za konfiguraciju. Detaljnije informacije potražite u članku Kreiranje i registracija još čvorova.

                                                                                                                                                  1. Instalirajte HDS host OVA.

                                                                                                                                                  2. Podesite HDS VM.

                                                                                                                                                  3. Postavite ažuriranu datoteka sa konfiguracijom.

                                                                                                                                                  4. Registrujte novi čvor na platformi Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Za postojeće HDS čvorove koji rade sa starijim datoteka sa konfiguracijom, postavite ISO datoteku. Obavite sledeći postupak na svakom čvoru prilikom uključivanja, ažuriranja svakog čvora pre isključivanja sledećeg čvora:

                                                                                                                                                  1. Isključite virtuelna mašina.

                                                                                                                                                  2. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju za montiranje iz ISO datoteke i pregledajte lokaciju na kojoj ste preuzeli novu KONFIGURACIJU ISO datoteke.

                                                                                                                                                  4. Proverite da li je povezivanje uključeno.

                                                                                                                                                  5. Sačuvajte promene i napajanje na virtuelna mašina.

                                                                                                                                                  4

                                                                                                                                                  Ponovite korak 3 da biste zamenili konfiguraciju na svakom preostalom čvoru koji radi sa starom konfiguracijom.

                                                                                                                                                  Isključi blokirani režim spoljne DNS rezolucije

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. Ako funkcije čvora ne DNS server razreše javna imena DNS, čvor automatski prelazi u režim blokirane spoljne DNS rezolucije.

                                                                                                                                                  Ako vaši čvorovi mogu da reše javna imena DNS internim DNS serverima, možete da isključite ovaj režim ponovnim ponovnim testiranjem proksi veze na svakom čvoru.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Uverite se da interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.
                                                                                                                                                  1

                                                                                                                                                  U veb-pregledaču otvorite interfejs čvora za hibridnu bezbednost podataka (IP adresa/podešavanje, na primer, https://192.0.2.0/setup), unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite na pregled (podrazumevana stranica).

                                                                                                                                                  Kada je omogućena, blokirana spoljna DNS rezolucija je podešena na "Da ".

                                                                                                                                                  3

                                                                                                                                                  Idite na stranicu Prodavnica pouzdanosti i proxy servera.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na " Proveri vezu proxy servera".

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže dolaznu DNS server i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija treba da bude podešena na "ne".

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ponovite test proksi veze na svakom čvoru u klasteru hibridne bezbednosti podataka.

                                                                                                                                                  Uklanjanje čvora

                                                                                                                                                  Koristite ovu proceduru za uklanjanje čvora za hibridnu bezbednost podataka iz Webex oblaka. Kada uklonite čvor iz klastera, izbrišite datoteku virtuelna mašina biste sprečili dalji pristup vašim bezbednosnim podacima.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora i isključili virtuelna mašina.

                                                                                                                                                  2

                                                                                                                                                  Uklonite čvor:

                                                                                                                                                  1. Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2. Na kartici Hibridna bezbednost podataka kliknite na "Prikaži sve" da biste prikazali stranicu Resursi za hibridnu bezbednost podataka.

                                                                                                                                                  3. Izaberite klaster da biste prikazali tablu sa pregledom.

                                                                                                                                                  4. Kliknite na "Otvori listu čvorova".

                                                                                                                                                  5. Na kartici Čvorovi izaberite čvor koji želite da uklonite.

                                                                                                                                                  6. Kliknite na dugme Radnje > odjavite čvor.

                                                                                                                                                  3

                                                                                                                                                  U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, desni klik na VM i kliknite Izbriši.)

                                                                                                                                                  Ako ne izbrišete datoteku VM, ne zaboravite da ponovo uključite zvuk ISO datoteke. Bez datoteke ISO, ne možete da koristite datoteku VM pristupite bezbednosnim podacima.

                                                                                                                                                  Oporavak od katastrofe pomoću centra podataka u pripravnosti

                                                                                                                                                  Najkritičnija usluga koju pruža vaš klaster za hibridnu bezbednost podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja uskladištenog u Webex oblaku. Za svakog korisnika u organizaciji koji je dodeljen za hibridnu bezbednost podataka, novi zahtevi za kreiranje ključa se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreirano svim korisnicima ovlašćenim da ih preuzmu, na primer, članovi prostora za razgovor.

                                                                                                                                                  Pošto klaster obavlja kritičnu funkciju obezbeđivanja ovih ključeva, važno je da klaster ostane pokrenut i da se održavaju odgovarajuća rezervna kopija. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koja se koristi za šemu dovešće do NEPOPLAĆENOG GUBITKA sadržaja kupca. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

                                                                                                                                                  Ako katastrofa dovede do toga da primena HDS-a u primarnoj centar za podatke postane nedostupna, sledite ovu proceduru da biste ručno prešli u režim centar za podatke.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici " Napredna podešavanja " dodajte konfiguraciju ispod ili uklonite passiveMode konfiguracija da bi čvor bio aktivan. Čvor može da rukuje saobraćajem nakon što se ovo konfiguriše.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite izlaz syslog da biste proverili da li čvorovi centar za podatke u režimu pasivnog pripravnosti. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavljuje na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon neuspeha, ako primarna traka centar za podatke ponovo postane aktivna, ponovo postavite mir i centar za podatke u pasivan režim prateći korake opisane u centru podataka u pripravnosti za oporavak od katastrofe.

                                                                                                                                                  (Opcionalno) Isključi zvuk ISO nakon HDS konfiguracije

                                                                                                                                                  Standardna HDS konfiguracija radi sa ISO postavljenim. Međutim, neki kupci radije ne napuštaju ISO datoteke neprekidno montirane. Datoteku za ISO možete ponovo da uključite nakon što svi HDS čvorovi preuzmu novu konfiguraciju.

                                                                                                                                                  I dalje koristite datoteke ISO da biste uneli promene konfiguracije. Kada kreirate novu ISO ili ažurirate ISO putem alatke za podešavanje, morate da postavite ažurirane ISO na sve HDS čvorove. Kada svi čvorovi prihvate promene konfiguracije, možete ponovo da uključite zvuk ISO sa ovom procedurom.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Nadogradite sve HDS čvorove na verziju 2021.01.22.4720 ili noviju.

                                                                                                                                                  1

                                                                                                                                                  Isključite jedan od HDS čvorova.

                                                                                                                                                  2

                                                                                                                                                  U vCenter uređaju servera izaberite HDS čvor.

                                                                                                                                                  3

                                                                                                                                                  Izaberite "Uredi > CD/DVD disk jedinici" i opozovite izbor stavke u ISO datoteci.

                                                                                                                                                  4

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 20 minuta.

                                                                                                                                                  5

                                                                                                                                                  Za svaki HDS čvor za redom ponovite.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Prikaži upozorenja i rešavanje problema

                                                                                                                                                  Primena hibridne bezbednosti podataka smatra se nedostupnim ako su svi čvorovi u klasteru nedostupni ili klaster sporo radi da zahteva istek vremena. Ako korisnici ne mogu da stignu do vašeg klastera hibridne bezbednosti podataka, iskuse sledeće simptome:

                                                                                                                                                  • Nije moguće kreirati nove prostore (nije moguće kreirati nove ključeve)

                                                                                                                                                  • Dešifrovanje poruka i naslova prostora nije uspelo za:

                                                                                                                                                    • Novi korisnici dodati u prostor (nije moguće preuzeti ključeve)

                                                                                                                                                    • Postojeći korisnici u prostoru koji koriste novi klijent (nije moguće preuzeti ključeve)

                                                                                                                                                  • Postojeći korisnici u prostoru će nastaviti da funkcionišu uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

                                                                                                                                                  Važno je da pravilno nadgledate svoj klaster hibridne bezbednosti podataka i da na odgovarajući način odgovorite na sva upozorenja kako biste izbegli prekid usluge.

                                                                                                                                                  Upozorenja

                                                                                                                                                  Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poruke konfigurisanim e-adresa. Upozorenja pokrivaju mnogo uobičajenih scenarija.

                                                                                                                                                  Tabela 1. Zajednički problemi i koraci za rešavanje njih

                                                                                                                                                  Upozorenje

                                                                                                                                                  Radnja

                                                                                                                                                  Neuspešan pristup lokalnoj bazi podataka.

                                                                                                                                                  Proverite da li ima grešaka u bazi podataka ili problema sa lokalnom mrežom.

                                                                                                                                                  Lokalni broj neuspešno povezivanje.

                                                                                                                                                  Proverite da server baze podataka je dostupan i da nalog za usluge akreditivi korišćeni u konfiguraciji čvorova.

                                                                                                                                                  Neuspešan pristup usluzi u oblaku.

                                                                                                                                                  Proverite da li čvorovi mogu da pristupe Webex serverima kao što je navedeno u zahtevima za spoljno povezivanje.

                                                                                                                                                  Obnavlja se registracija usluge u oblaku.

                                                                                                                                                  Registracija za usluge u oblaku je odbačena. Obnova registracije je u toku.

                                                                                                                                                  Registracija usluge u oblaku je odbačena.

                                                                                                                                                  Registracija za usluge u oblaku je prekinuta. Usluga se iskljućuje.

                                                                                                                                                  Usluga još uvek nije aktivirana.

                                                                                                                                                  Aktivirajte probnu verziju ili završite sa premeštanjem probne verzije na proizvodnju.

                                                                                                                                                  Konfigurisani domen se ne podudara sertifikat servera.

                                                                                                                                                  Uverite se da sertifikat servera se podudara sa konfigurisanim domenom za aktivaciju usluge.

                                                                                                                                                  Najverovatniji uzrok je to što je CN sertifikata nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.

                                                                                                                                                  Potvrda identiteta za usluge u oblaku nije uspela.

                                                                                                                                                  Proverite tačnost i mogući istek nalog za usluge akreditivi.

                                                                                                                                                  Otvaranje datoteke lokalnog ključeva nije uspelo.

                                                                                                                                                  Proverite da li postoji tačnost integriteta i lozinke u datoteci lokalnog ključeva.

                                                                                                                                                  Lokalna sertifikat servera nevažeća.

                                                                                                                                                  Proverite sertifikat servera na datum isteka i potvrdite da ga je izdao pouzdani Certificate Authority.

                                                                                                                                                  Objavljivanje pokazatelja nije moguće.

                                                                                                                                                  Proverite pristup lokalne mreže spoljnim uslugama oblaka.

                                                                                                                                                  /media/configdrive/hds direktorijum ne postoji.

                                                                                                                                                  Proverite konfiguraciju ISO na virtuelnog organizatora. Proverite da ISO datoteka postoji, da je podešena za montiranje na ponovno pokretanje i da li se uspešno montava.

                                                                                                                                                  Rešavanje problema sa hibridnom zaštitom podataka

                                                                                                                                                  Koristite sledeće opšte smernice za rešavanje problema sa hibridnom zaštitom podataka.
                                                                                                                                                  1

                                                                                                                                                  Pregledajte Control Hub za sva upozorenja i ispravite sve stavke koje tamo pronađete.

                                                                                                                                                  2

                                                                                                                                                  Pregledajte izlaz Syslog servera za aktivnost iz primene hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Obratite se Cisco podrška.

                                                                                                                                                  Ostale napomene

                                                                                                                                                  Poznati problemi za hibridnu bezbednost podataka

                                                                                                                                                  • Ako isključite klaster hibridne bezbednosti podataka (brisanjem na portalu Control Hub ili isključivanje svih čvorova), izgubite datoteku za ISO konfiguracije ili izgubite pristup bazi podataka ključeva, korisnici aplikacije Webex više neće moći da koriste prostore na listi "Osobe" koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probnu verziju i na proizvodne primene. Trenutno nemamo rešenje ili rešenje za ovaj problem i pozivamo vas da ne isključite HDS usluge nakon što rukuju aktivnim korisničkim nalozima.

                                                                                                                                                  • Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu određeno vreme (verovatno jedan sat). Kada korisnik postane član probne verzije hibridne bezbednosti podataka, klijent korisnika nastavlja da koristi postojeću ECDH vezu sve dok istekne vreme. Osim toga, korisnik može da odjaviti se ponovo u aplikaciju Webex kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

                                                                                                                                                    Isto ponašanje se dešava kada premestite probnu verziju na proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim bezbednosnim uslugama podataka nastaviće da koriste te usluge dok se ponovo ne pregovara o ECDH vezi (kroz vremensko ograničenje ili odjavljivanjem i ponovnom prijavama).

                                                                                                                                                  Koristite OpenSSL za generisanje PKCS12 datoteke

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • OpenSSL je jedna alatka koja se može koristiti za podešavanje PKCS12 datoteke u odgovarajućem formatu za učitavanje u alatki za podešavanje HDS-a. Postoje i drugi načini da se to uradi, a ne podržavamo i ne promovišemo ga na neki drugi način.

                                                                                                                                                  • Ako odaberete da koristite OpenSSL, pružamo ovu proceduru kao smernicu da vam pomognemo da kreirate datoteku koja ispunjava zahteve sertifikata X.509 u zahtevima za sertifikate X.509. Razumejte te zahteve pre nego što nastavite.

                                                                                                                                                  • Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.

                                                                                                                                                  • Kreirajte privatni ključ.

                                                                                                                                                  • Pokrenite ovu proceduru kada dobijete sertifikat servera od svog Certificate Authority (CA).

                                                                                                                                                  1

                                                                                                                                                  Kada primite sertifikat servera iz CA, sačuvajte ga kao hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Prikažite sertifikat kao tekst i potvrdite detalje.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Koristite uređivač teksta da biste kreirali datoteku sa paketom sertifikata koja se zove hdsnode-bundle.pem. Komplet datoteka mora da sadrži sertifikat servera, sve posredne CA sertifikate i vrhovne CA sertifikate, u formatu ispod:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Kreiraj .p12 datoteku sa prijateljskim imenom kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Proverite detalje sertifikat servera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Unesite lozinku u upit za šifrovanje privatnog ključa tako da bude navedena u izlazu. Zatim proverite da li privatni ključ i prvi sertifikat uključuju linije friendlyName: kms-private-key.

                                                                                                                                                    Primer:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Vratite se da biste ispunili preduslove za hibridnu bezbednost podataka. Koristićete hdsnode.p12 lozinku koju ste postavili , u odeljku Kreiranje konfiguracije ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Ove datoteke možete ponovo da koristite da biste zatražili novi sertifikat kada originalni sertifikat istekne.

                                                                                                                                                  Saobraćaj između HDS čvorova i oblaka

                                                                                                                                                  Saobraćaj za prikupljanje odlaznih pokazatelja

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka šalju određene pokazatelje Webex oblaku. U njih spadaju sistemski pokazatelji za maksimum grupe, upotrebu grupe, CPU učitavanje i broj konverzacije; pokazatelji za sinhrone i asinhrone konverzacije; metrika za upozorenja koja uključuju prag veza za šifrovanje, kašnjenje ili dužinu reda za čekanje zahteva; pokazatelji u skladištu podataka; metrika za šifrovanje veze. Čvorovi šalju materijal za šifrovani ključ preko kanala van opsega (odvojeno od zahteva).

                                                                                                                                                  Dolazni saobraćaj

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka dobijaju sledeće tipove dolaznog saobraćaja iz Webex oblaka:

                                                                                                                                                  • Zahtevi za šifrovanje od klijenata, koje usmerava usluga šifrovanja

                                                                                                                                                  • Nadograđuje se na softver čvora

                                                                                                                                                  Konfigurisanje lignja proxy servera za hibridnu bezbednost podataka

                                                                                                                                                  Websocket ne može da se poveže preko proxy servera lignje

                                                                                                                                                  Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a ( wss:) veza koje zahteva hibridna bezbednost podataka. Ovi odeljci daju uputstva kako da konfigurišete različite verzije Lignje za zanemarivanje wss: saobraćaj za pravilan rad usluga.

                                                                                                                                                  Lignje 4 i 5

                                                                                                                                                  Dodajte datoteku on_unsupported_protocol direktivu za squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Lignje 3,5.27

                                                                                                                                                  Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima dodatim u squid.conf. Ova pravila podležu promeni dok razvijamo funkcije i ažuriramo Webex oblak.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prioritet

                                                                                                                                                  Nove i promenjene informacije

                                                                                                                                                  Datum

                                                                                                                                                  Napravljene promene

                                                                                                                                                  20. oktobar 2023.

                                                                                                                                                  Avgust 07, 2023.

                                                                                                                                                  23. maj 2023.

                                                                                                                                                  06. decembar 2022.

                                                                                                                                                  23. novembar 2022.

                                                                                                                                                  • HDS čvorovi sada mogu da koriste Windows potvrdu identiteta u SQL Microsoft serveru.

                                                                                                                                                    Ažurirana je tema zahteva servera baze podataka sa dodatnim zahtevima za ovaj režim potvrde identiteta.

                                                                                                                                                    Ažurirano kreiranje konfiguracije ISO za HDS organizatore postupkom konfigurisanja Windows potvrde identiteta na čvorovima.

                                                                                                                                                  • Ažurirana je tema zahteva servera baze podataka sa novom minimalnom obaveznom verzijom (PostgreSQL 10).

                                                                                                                                                  13.11.2021.

                                                                                                                                                  Docker Desktop mora da pokrene program za podešavanje da biste mogli da instalirate HDS čvorove. Pogledajte zahteve za docker radnu površinu.

                                                                                                                                                  24.04.2021.

                                                                                                                                                  Imajte u vidu to da možete ponovo da koristite datoteku privatnog ključa i da CSR zatražite drugi sertifikat. Detaljnije informacije potražite u članku Upotreba openSSL za generisanje PKCS12 datoteke .

                                                                                                                                                  30. april 2021.

                                                                                                                                                  Promenjen je VM za prostor na lokalnom čvrstom disku na 30 GB. Detaljnije informacije potražite u zahtevima virtuelnog organizatora.

                                                                                                                                                  24. februar, 2021.

                                                                                                                                                  Alatka za podešavanje HDS-a sada može da radi iza proxy servera. Detalje potražite u članku Kreiranje ISO za HDS organizatore .

                                                                                                                                                  2. februar, 2021.

                                                                                                                                                  HDS sada može da radi bez postavljene ISO datoteke. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  11. januar 2021.

                                                                                                                                                  Dodate su informacije o alatki za podešavanje HDS-a i proxy serverima za kreiranje ISO za HDS organizatore.

                                                                                                                                                  13.11.2020.

                                                                                                                                                  Ažurirano preuzimanje instalacionih datoteka.

                                                                                                                                                  8. oktobar 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije za ISO za HDS organizatore i promenu konfiguracije čvora pomoću komandi za FedRAMP okruženja.

                                                                                                                                                  14.04.2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore i promenu konfiguracije čvora promenama u procesu prijavljivanja.

                                                                                                                                                  5. avgust, 2020.

                                                                                                                                                  Ažurirano testirajte primenu hibridne bezbednosti podataka za promene u porukama evidencije.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se maksimalni broj uklonili organizatori.

                                                                                                                                                  16. jun, 2020.

                                                                                                                                                  Ažurirano je uklanjanje čvora za promene u korisničkom interfejsu platforme Control Hub.

                                                                                                                                                  4. jun, 2020.

                                                                                                                                                  Ažurirano je kreiranje konfiguracije ISO za HDS organizatore za promene u naprednih podešavanja koje možete podesiti.

                                                                                                                                                  29. maj, 2020.

                                                                                                                                                  Ažurirano kreiranje konfiguracije ISO za HDS organizatore koji će pokazati da takođe možete da koristite TLS sa SQL bazama podataka servera, promenama korisničkog interfejsa i drugim pojašnjenja.

                                                                                                                                                  5. maj, 2020.

                                                                                                                                                  Ažurirani su zahtevi virtuelnog organizatora kako bi se prikazao novi zahtev za ESXi 6.5.

                                                                                                                                                  21. april 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljne mogućnosti povezivanja sa hostovima kompanije New Americas CI.

                                                                                                                                                  1. aprila 2020.

                                                                                                                                                  Ažurirani su zahtevi za spoljnu povezanost sa informacijama o regionalnim CI organizatorima.

                                                                                                                                                  20. februar, 2020.Ažurirano kreiranje konfiguracije ISO za HDS organizatore informacijama o novom opcionalnom ekranu za napredna podešavanja u alatki za podešavanje HDS-a.
                                                                                                                                                  4. februar 2020.Ažurirani zahtevi proxy servera.
                                                                                                                                                  16. decembar 2019.Pojašnjeno je zahtev da režim DNS spoljne rezolucije radi u zahtevima proxy servera.
                                                                                                                                                  19.11.2019.

                                                                                                                                                  Dodate informacije o blokiranim spoljnim DNS u sledećim odeljcima:

                                                                                                                                                  8.11.2019.

                                                                                                                                                  Sada možete da konfigurišete podešavanja mreže za čvor dok primenjujete OVA, a ne kasnije.

                                                                                                                                                  Ažurirani su sledeći odeljci na odgovarajući način:


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  6. septembar 2019.

                                                                                                                                                  Dodat je SQL server standarda u zahteve servera baze podataka.

                                                                                                                                                  29. avgusta 2019.Dodato je konfigurisanje lignja proxy servera za dodatak za hibridnu bezbednost podataka sa uputstvima za konfigurisanje proxy servera za lignje kako bi se zanemario websocket saobraćaj radi pravilnog rada.
                                                                                                                                                  20. avgust, 2019.

                                                                                                                                                  Dodati su i ažurirani odeljci za pokrivanje proxy podrške za komunikacije čvora hibridne bezbednosti podataka sa Webex oblakom.

                                                                                                                                                  Da biste pristupili samo sadržaju podrške za proxy za postojeću primenu, pogledajte članak pomoći proxy podrške za hibridnu bezbednost podataka i članak pomoći Webex Video Mesh .

                                                                                                                                                  13. jun 2019.Probna verzija je ažurirana na tok zadatka proizvodnje sa podsetnikom za sinhronizaciju HdsTrialGroup grupni objekat pre pokretanja probne verzije ako vaša organizacija koristi sinhronizaciju direktorijuma.
                                                                                                                                                  6. mart 2019.
                                                                                                                                                  28. februara 2019.
                                                                                                                                                  • Ispravili ste količinu prostora na lokalnom čvrstom disku po serveru koji treba da ostavite po strani prilikom pripreme virtuelnih organizatora koji postaju čvorovi za hibridnu bezbednost podataka, od 50 GB do 20 GB, da bi se odražavala veličina diska koju OVA kreira.

                                                                                                                                                  26. februar 2019.
                                                                                                                                                  • Čvorovi za hibridnu bezbednost podataka sada podržavaju šifrovane veze sa PostgreSQL serverima baze podataka i šifrovane veze za evidentiranje sa syslog serverom koji podržava TLS sistem. Ažurirano kreiranje konfiguracije ISO za HDS organizatore uputstvima .

                                                                                                                                                  • Uklonjene su odredišne URL adrese iz tabele "Zahtevi mogućnosti povezivanja sa internetom za VMS čvor za hibridnu bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatne URL adrese za Webex Teams hibridne usluge" u zahtevima mreže za Webex Teams usluge.

                                                                                                                                                  24. januar, 2019.

                                                                                                                                                  • Hibridna bezbednost podataka sada podržava Microsoft SQL server kao bazu podataka. SQL server uvek uključen (uvek uključen neuspešni klaster i uvek u grupama dostupnosti) podržavaju JDBC upravljački programi koji se koriste u hibridnoj bezbednosti podataka. Dodat je sadržaj povezan sa primenom sa SQL serverom.


                                                                                                                                                     

                                                                                                                                                    Podrška Microsoft SQL servera namenjena je isključivo za nove primene hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka iz PostgreSQL na Microsoft SQL server u postojećoj primeni.

                                                                                                                                                  5. novembar 2018.
                                                                                                                                                  19. oktobar 2018.

                                                                                                                                                  Jul 31, 2018

                                                                                                                                                  21. maj 2018.

                                                                                                                                                  Promenjena terminologija da odražava rebrendiranje Cisco Sparka:

                                                                                                                                                  • Cisco Spark hibridna bezbednost podataka je sada hibridna bezbednost podataka.

                                                                                                                                                  • Cisco Spark aplikacija je sada aplikacija Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud je sada Webex oblak.

                                                                                                                                                  11. april 2018.
                                                                                                                                                  22. februar, 2018.
                                                                                                                                                  15. februara 2018.
                                                                                                                                                  • U tabeli Zahtevi sertifikata X.509 naveli ste da sertifikat ne može da bude džoker sertifikat i da KMS koristi CN domen, a ne bilo koji domen definisan u poljima x.509v3 SAN.

                                                                                                                                                  18. januara 2018.

                                                                                                                                                  2. novembar 2017.

                                                                                                                                                  • Razjašnjena sinhronizacija direktorijuma HdsTrialGroup.

                                                                                                                                                  • Fiksna uputstva za otpremanje ISO datoteka sa konfiguracijom za montažu na VM čvorove.

                                                                                                                                                  Avgust 18, 2017

                                                                                                                                                  Prvo objavljeno

                                                                                                                                                  Prvi koraci sa hibridnom zaštitom podataka

                                                                                                                                                  Pregled hibridne bezbednosti podataka

                                                                                                                                                  Od 1. dana bezbednost podataka je primarni fokus u dizajnu aplikacije Webex. Kamen temeljac ove bezbednosti je potpuno šifrovanje sadržaja, koje omogućavaju klijenti Webex aplikacije koji obavljaju interakciju sa uslugom upravljanja ključevima (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamički šifrovanje i dešifrovanje poruka i datoteka.

                                                                                                                                                  Podrazumevano, svi kupci aplikacije Webex dobijaju potpuno šifrovanje pomoću dinamičkih ključeva uskladištenih u KMS-u u oblaku, u Cisco bezbednosnom području. Hibridna bezbednost podataka premešta KMS i druge funkcije povezane sa bezbednošću u vaš podaci preduzeća centar, tako da niko osim vas ne zadržava ključeve svog šifrovanog sadržaja.

                                                                                                                                                  Arhitektura bezbednosnog područja

                                                                                                                                                  Arhitektura Webex oblaka odvaja različite tipove usluge u zasebna područja ili pouzdane domene, kao što je opisano ispod.

                                                                                                                                                  Područja razdvojenosti (bez hibridne bezbednosti podataka)

                                                                                                                                                  Da biste dodatno razumeli hibridnu bezbednost podataka, hajde da pogledamo ovaj čisti slučaj u oblaku gde Cisco obezbeđuje sve funkcije u svom području oblaka. Usluga identiteta, jedino mesto gde korisnici mogu direktno da se povežu sa ličnim podacima kao što su e-adresa, logično i fizičko se odvaja od bezbednosnog područja u centar za podatke B. Oba se zamenjuju odvojeno od područja gde se šifrovani sadržaj konačno skladišti u centar za podatke C.

                                                                                                                                                  Na ovom dijagramu, klijent je aplikacija Webex pokrenuta na laptop računaru korisnika i potvrdio identitet pomoću usluge identiteta. Kada korisnik sastavi poruku za slanje u prostor, izvršite sledeće korake:

                                                                                                                                                  1. Klijent uspostavlja funkciju bezbedna veza uslugom upravljanja ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Ova bezbedna veza koristi ECDH, a KMS šifruje ključ pomoću AES-256 glavni ključ.

                                                                                                                                                  2. Poruka je šifrovana pre nego što napusti klijent. Klijent je šalje usluzi indeksa, koja kreira šifrovane indekse pretrage kako bi pomogla u budućim pretraživanjima sadržaja.

                                                                                                                                                  3. Šifrovana poruka se šalje usluzi usklađenosti radi provere usklađenosti.

                                                                                                                                                  4. Šifrovana poruka se čuva u području skladišta.

                                                                                                                                                  Kada primenite hibridnu bezbednost podataka, premestite funkcije bezbednosnog područja (KMS, indeksiranje i usaglašenost) na u objektu centar za podatke. Ostale usluge u oblaku koje sačinju Webex (uključujući identitet i skladištenje sadržaja) ostaju u Područjima kompanije Cisco.

                                                                                                                                                  Saradnja sa drugim organizacijama

                                                                                                                                                  Korisnici u vašoj organizaciji mogu redovno da koriste aplikaciju Webex za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od korisnika zatraži ključ za prostor u vlasništvu vaše organizacije (jer ga je kreirao jedan od korisnika) VAŠ KMS šalje ključ klijentu preko ECDH bezbednog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev do Webex oblaka putem zasebnog ECDH kanala da bi dobili ključ iz odgovarajućih KMS-a, a zatim vraća ključ korisniku na originalnom kanalu.

                                                                                                                                                  KMS usluga pokrenuta u okviru Org A proverava veze sa KMS-ovima u drugim organizacijama koristeći PKI sertifikate x.509. Pogledajte odeljak Pripremite svoje okruženje za detalje o generisanju sertifikata x.509 koji će se koristiti sa primenom hibridne bezbednosti podataka.

                                                                                                                                                  Očekivanja za primenu hibridne bezbednosti podataka

                                                                                                                                                  Primena hibridne bezbednosti podataka zahteva značajnu posvećenost kupaca i svesnost o rizicima koji dolaze sa sopstvenim ključevima za šifrovanje.

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka, morate da navedite:

                                                                                                                                                  Dovršen gubitak konfiguracije ISO koju ste izgradili za hibridnu bezbednost podataka ili bazu podataka koju naveli dovešću do gubitka ključeva. Gubitak ključa sprečava korisnike da dešifruje sadržaj prostora i druge šifrovane podatke u aplikaciji Webex. Ako se to desi, možete da napravite novu primenu, ali će samo novi sadržaj biti vidljiv. Da biste izbegli gubitak pristupa podacima, morate:

                                                                                                                                                  • Upravljajte rezervnim kopijama i oporavkom baze podataka i konfiguracijama ISO.

                                                                                                                                                  • Budite spremni da izvršite brze oporavljanje nakon katastrofe ako dođe do katastrofe, kao što je neuspeh diska baze podataka ili centar za podatke katastrofa.


                                                                                                                                                   

                                                                                                                                                  Ne postoji mehanizam za premeštanje ključeva u oblak nakon HDS primene.

                                                                                                                                                  Proces podešavanja visokog nivoa

                                                                                                                                                  Ovaj dokument pokriva podešavanje i upravljanje primenom hibridne bezbednosti podataka:

                                                                                                                                                  • Podešavanje hibridne bezbednosti podataka – To uključuje pripremu potrebne infrastrukture i instaliranje softvera hibridne bezbednosti podataka, testiranje primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazi na proizvodnju. Ovim putem će cela organizacija da koristi vaš klaster za hibridnu bezbednost podataka za bezbednosne funkcije.

                                                                                                                                                    Faze podešavanja, probne verzije i produkcijske faze su detaljno pokrivene u naredna tri poglavlja.

                                                                                                                                                  • Održavajte primenu hibridne bezbednosti podataka – Webex oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može da pruži jednu podršku za ovu primenu i da se angažuje Cisco podrška po potrebi. Obaveštenja na ekranu možete da koristite i podesiti upozorenja zasnovana na e-poruci na platformi Control Hub.

                                                                                                                                                  • Razumevanje uobičajenih upozorenja, koraka rešavanja problema i poznatih problema – Ako naiđete na problem prilikom primene ili korišćenja hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i aplikacije Poznati problemi mogu vam pomoći da odredite i rešite problem.

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  U okviru podaci preduzeća centra primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na zasebnim virtuelnim organizatorima. Čvorovi komuniciraju sa Webex oblakom putem bezbednih veb-priključaka i bezbednog HTTP-a.

                                                                                                                                                  Tokom procesa instalacije obezbeđujemo vam OVA datoteku za podesiti virtuelni uređaj na VM-ovima koje pružate. Alatku za podešavanje HDS-a koristite da biste kreirali prilagođenu konfiguraciju klastera ISO koju montirate na svaki čvor. Klaster hibridne bezbednosti podataka koristi obezbeđeni Syslogd server i PostgreSQL ili Microsoft SQL server bazu podataka. (Detalje o Syslogd-u i vezi sa bazom podataka konfigurišete u alatki za podešavanje HDS-a.)

                                                                                                                                                  Model primene hibridne bezbednosti podataka

                                                                                                                                                  Minimalni broj čvorova koje možete da imate u klasteru je dva. Preporučujemo da ih ima najmanje tri, a možete da ih imate do pet. Ako imate više čvorova, osigurava se da se usluga ne prekida tokom nadogradnje softvera ili druge aktivnosti održavanja na čvoru. (Webex oblak nadograđuje samo jedan čvor u isto vreme.)

                                                                                                                                                  Svi čvorovi u klasteru pristupaju istom skladištu podataka ključa i aktivnost evidencije istom serveru syslog. Sami čvorovi su bez države i obrađuju zahteve u okruglo-robin stilu, kao što je režirao oblak.

                                                                                                                                                  Čvorovi postaju aktivni kada ih registrujete na portalu Control Hub. Da biste pojedinačni čvor odjavili iz funkcije, možete ga odjaviti i kasnije ponovo registracijiti po potrebi.

                                                                                                                                                  Podržavamo samo jedan klaster po organizaciji.

                                                                                                                                                  Probni režim hibridne bezbednosti podataka

                                                                                                                                                  Nakon podešavanja primene hibridne bezbednosti podataka, prvo pokušajte sa skupom pilot korisnika. Tokom probnog perioda ovi korisnici koriste u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ostali korisnici i dalje koriste područje bezbednosti oblaka.

                                                                                                                                                  Ako odlučite da ne nastavite sa primenom tokom probne verzije i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su ostvarili interakciju kreiranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Oni će videti "Ova poruka se ne može dešifrovanje" u aplikaciji Webex.

                                                                                                                                                  Ako ste zadovoljni da primena funkcioniše dobro za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, prebacite primenu na proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su se koristili tokom probne verzije. Međutim, ne možete se uvek pomerati između proizvodnog režima i originalne probne verzije. Ako morate da deaktivirate uslugu, na primer da biste izvršili oporavljanje nakon katastrofe, kada ponovo aktivirate morate da pokrenete novu probnu verziju i da podesiti skup pilot korisnika za novu probnu verziju pre nego što se vratite u proizvodni režim. Bez obzira na to da li korisnici zadržavaju pristup podacima u ovom trenutku, zavisi od toga da li ste uspešno održali rezervne kopije ključa skladištenje podataka i ISO datoteka sa konfiguracijom za čvorove za hibridnu bezbednost podataka u klasteru.

                                                                                                                                                  Centar podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Tokom primene, možete podesiti u bezbednom centar za podatke. U slučaju centar za podatke katastrofe, možete ručno da ne uspete da izvršite raspoređivanje u režimu centar za podatke.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ручни прелазак у стање у с

                                                                                                                                                  Baze podataka aktivnih i u stanju pripravnosti centara podataka su u sinhronizaciji jedan sa drugim, što će umanjiti vreme potrebno za izvršavanje neuspeha. Datoteka ISO u režimu centar za podatke ažurira se dodatnim konfiguracijama koje obezbeđuju da čvorovi budu registrovani u organizaciji, ali neće upravljati saobraćajem. Zbog toga čvorovi u režimu centar za podatke uvek ostanu ažurirani sa najnovijom verzijom HDS softvera.


                                                                                                                                                   

                                                                                                                                                  Aktivni čvorovi za hibridnu bezbednost podataka moraju uvek biti u centar za podatke kao i aktivni server baze podataka.

                                                                                                                                                  Podešavanje centra podataka u pripravnosti za oporavak od katastrofe

                                                                                                                                                  Sledite dolenavedene korake da biste ISO datoteku u režimu centar za podatke:

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Prostor u centar za podatke bi trebalo da preslika proizvodno okruženje VMs i rezervnu PostgreSQL ili Microsoft SQL server bazu podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS. (Pregled ovog modela neuspešnog pokretanja potražite u centru podataka u 3 VMS.)

                                                                                                                                                  • Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

                                                                                                                                                  1

                                                                                                                                                  Pokrenite alatku za podešavanje HDS-a i sledite korake navedene u odeljku Kreiranje ISO za HDS organizatore.


                                                                                                                                                   

                                                                                                                                                  Datoteka ISO mora da bude kopija originalne ISO primarne centar za podatke na kojoj treba da se unete sledeće ispravke za konfiguraciju.

                                                                                                                                                  2

                                                                                                                                                  Nakon što konfigurišete Syslogd server, kliknite na opciju " Napredna podešavanja"

                                                                                                                                                  3

                                                                                                                                                  Na stranici "Napredna podešavanja " dodajte konfiguraciju u nastavku da biste postavili čvor u pasivan režim. U ovom režimu će čvor biti registrovan za organizaciju i povezan na oblak, ali neće upravljati nikakvim saobraćajem.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dovršite proces konfiguracije i sačuvajte datoteku ISO na lokaciji koju je lako pronaći.

                                                                                                                                                  5

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu. Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  6

                                                                                                                                                  U levom navigacionom panelu VMware vSphere klijenta možete desni klik na VM i kliknite na "Uredi podešavanja".

                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Uredi >CD/DVD disk jedinicu 1 " i izaberite stavku Skladište ISO podataka.


                                                                                                                                                   

                                                                                                                                                  Uverite se da su uključeni povezani i povezani na napajanje kako bi ažurirane promene konfiguracije imale efekta nakon pokretanja čvorova.

                                                                                                                                                  8

                                                                                                                                                  Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.

                                                                                                                                                  9

                                                                                                                                                  Ponovite proces za svaki čvor u režimu centar za podatke.


                                                                                                                                                   

                                                                                                                                                  Proverite syslogove da biste proverili da li su čvorovi u pasivnom režimu. Moći ćete da vidite poruku "KMS konfigurisan u pasivnom režimu" na sislogovima.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Nakon konfigurisanja passiveMode u datoteci ISO i sačuvati je, možete da kreirate još jednu kopiju datoteke ISO datoteku bez passiveMode konfiguracija i čuvanje na bezbednoj lokaciji. Ova kopija datoteke ISO datoteke bez passiveMode konfigurisana funkcija može pomoći u brzom procesu preuzimanja tokom oporavljanje nakon katastrofe. Pogledajte " Oporavak od katastrofe" koristeći centar podataka u pripravnosti za detaljan postupak preuzimanja.

                                                                                                                                                  Proxy podrška

                                                                                                                                                  Hibridna bezbednost podataka podržava eksplicitnu, prozirnu inspekciju i proxy servere koji se ne pregledaju. Ove proxy servere možete da vežete za raspoređivanje kako biste mogli da bezbedno i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezanosti nakon što podesite proxy server na čvorovima.

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka podržavaju sledeće opcije proxy servera:

                                                                                                                                                  • Nema proxy servera – podrazumevano ako ne koristite podešavanje HDS čvora Pouzdano skladište i proxy servera za integraciju proxy servera. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirni proxy server koji ne pregleda – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.

                                                                                                                                                  • Prozirno prolazno prolaze ili protok proxy servera – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).

                                                                                                                                                  • Eksplicitni proxy server – sa eksplicitnim proxy serverom govorite HDS čvorovima koje proksi server i šemom potvrde identiteta da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije u svaki čvor:

                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokol – u zavisnosti od toga šta proksi server podržava, izaberite između sledećih protokola:

                                                                                                                                                      • HTTP – Pregleda i kontroliše sve zahteve koje klijent šalje.

                                                                                                                                                      • HTTPS – Obezbeđuje kanal za server. Klijent prima i proverava valjanost sertifikata servera.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo ako izaberete HTTPS kao proxy protokol.

                                                                                                                                                        Zahteva da unesete korisničko ime i lozinku u svaki čvor.

                                                                                                                                                  Primer čvorova za hibridnu bezbednost podataka i proxy servera

                                                                                                                                                  Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za prozirnu inspekciju i HTTPS eksplicitnu inspekciju opcija proxy korenski sertifikat se mora instalirati na proxy serveru i na čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                  Blokirani spoljni DNS rezolucije (eksplicitne konfiguracije proxy servera)

                                                                                                                                                  Kada registrujete čvor ili proverite konfiguraciju proxy servera čvora, proces testira DNS pronalaženja i mogućnosti povezivanja sa Cisco Webex oblakom. U primenama sa eksplicitnim konfiguracijama proxy servera koje ne dozvoljavaju spoljnu DNS za interne klijente, ako čvor ne može da upitu na DNS servere, automatski prelazi u režim blokirane spoljne DNS rezolucije. U ovom režimu mogu da se nastave testovi registracije čvora i drugih testova mogućnosti povezivanja sa proxy serverom.

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  Zahtevi za hibridnu bezbednost podataka

                                                                                                                                                  Cisco Webex licence

                                                                                                                                                  Da biste primenili hibridnu bezbednost podataka:

                                                                                                                                                  Zahtevi za docker radnu površinu

                                                                                                                                                  Da biste instalirali HDS čvorove, treba vam Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija možda zahteva plaćenu pretplatu za Docker Desktop. Više detalja potražite u postu docker bloga, " Docker ažurira i proširi pretplate na naše proizvode".

                                                                                                                                                  X.509 zahtevi za sertifikat

                                                                                                                                                  Organizator lanac sertifikata ispuni sledeće uslove:

                                                                                                                                                  Tabela 1. X.509 Zahtevi sertifikata za primenu hibridne bezbednosti podataka

                                                                                                                                                  Uslov

                                                                                                                                                  Detalji

                                                                                                                                                  • Potpisao pouzdani Certificate Authority (CA)

                                                                                                                                                  Podrazumevano verujemo CA-ovima na Mozilla listi (sa izuzetkom WoSign i StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nosi zajedničko ime (CN) naziv domena koja identifikuje vašu primenu hibridne bezbednosti podataka

                                                                                                                                                  • Nije džoker sertifikat

                                                                                                                                                  CN ne mora da bude dostupan ili organizator uživo. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, hds.company.com.

                                                                                                                                                  CN ne sme da sadrži * (džoker).

                                                                                                                                                  CN se koristi za potvrdu čvorova hibridne bezbednosti podataka klijentima aplikacije Webex. Svi čvorovi za hibridnu bezbednost podataka u klasteru koriste isti sertifikat. Vaš KMS se identifikuje pomoću CN domena, a ne bilo kog domena definisanog u poljima x.509v3 SAN.

                                                                                                                                                  Nakon što registrujte čvor sa ovim sertifikatu, ne podržavamo promenu CN naziv domena. Izaberite domen koji može da se primeni i na probnu verziju i na produkcijske primene.

                                                                                                                                                  • Potpis koji nije SHA1

                                                                                                                                                  KMS softver ne podržava SHA1 potpise za proveru valjanosti veza sa KMS-ovima drugih organizacija.

                                                                                                                                                  • Formatiran kao PKCS #12 datoteka zaštićena lozinkom

                                                                                                                                                  • Koristite prijateljsko ime za kms-private-key da biste označili sertifikat, privatni ključ i sve posredne sertifikate za otpremanje.

                                                                                                                                                  Za promenu formata certifikata možete da koristite konvertor kao što je OpenSSL.

                                                                                                                                                  Moraćete da unesete lozinku kada pokrenete alatku za podešavanje HDS-a.

                                                                                                                                                  KMS softver ne nameće ograničenja korišćenja ključa ili proširena ograničenja korišćenja ključa. Neki autoriteti za izdavanje sertifikata zahtevaju da se proširena ograničenja korišćenja ključa primenjuju na svaki sertifikat, kao što je potvrda identiteta servera. U redu je da koristite potvrdu identiteta servera ili druga podešavanja.

                                                                                                                                                  Zahtevi virtuelnog organizatora

                                                                                                                                                  Virtuelni domaćini koje ćete podesiti kao čvorove hibridne bezbednosti podataka u svom klasteru imaju sledeće zahteve:

                                                                                                                                                  • Najmanje dva odvojena organizatora (3 preporučena) u istom bezbednom centar za podatke

                                                                                                                                                  • VMware ESXi 6.5 (ili noviji) je instaliran i pokrenut.


                                                                                                                                                     

                                                                                                                                                    Morate da nadogradite ako imate raniju verziju ESXi-a.

                                                                                                                                                  • Najmanje 4 vCPU, 8 GB glavne memorije, 30 GB lokalnog čvrstog prostora po serveru

                                                                                                                                                  Zahtevi servera baze podataka


                                                                                                                                                   

                                                                                                                                                  Kreirajte novu bazu podataka za skladištenje ključeva. Nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.

                                                                                                                                                  Postoje dve opcije za ovu server baze podataka. Zahtevi za svakog su sledeći:

                                                                                                                                                  Tabela 2. Zahtevi servera baze podataka po tipu baze podataka

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ili 16, instaliran i pokrenut.

                                                                                                                                                  • SQL server 2016, 2017 ili 2019 (Enterprise ili Standard) instaliran.


                                                                                                                                                     

                                                                                                                                                    SQL server 2016 zahteva servisni paket 2 i Cumulative Update 2 ili noviju verziju.

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  Najmanje 8 vCUs, 16 GB glavne memorije, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračena (preporučuje se 2-TB ako želite da baza podataka dugo radi, a da ne morate da povećavate skladište)

                                                                                                                                                  HDS softver trenutno instalira sledeće verzije upravljačkog programa za komunikaciju sa server baze podataka:

                                                                                                                                                  PostgresqL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC upravljački program 42.2.5

                                                                                                                                                  SQL JDBC upravljački program servera 4.6

                                                                                                                                                  Ova verzija upravljačkog programa podržava SQL server uvek uključen ( Uvek uključene instance neuspešnog klastera i Grupe dostupnosti uvek uključene).

                                                                                                                                                  Dodatni zahtevi za Windows potvrdu identiteta u SQL Microsoft serveru

                                                                                                                                                  Ako želite da HDS čvorovi koriste Windows potvrdu identiteta da bi dobili pristup bazi podataka ključeva na Microsoft SQL serveru, potrebna vam je sledeća konfiguracija u vašem okruženju:

                                                                                                                                                  • HDS čvorovi, Active Directory infrastruktura i MS SQL server moraju da se sinhronizuju sa NTP.

                                                                                                                                                  • Windows nalog koji napišete HDS čvorovima mora da ima pristup za čitanje/pisanje baze podataka.

                                                                                                                                                  • Serveri DNS koje dostavite HDS čvorovima moraju da budu u mogućnosti da razreše centar za distribuciju ključa (KDC).

                                                                                                                                                  • Možete registrovati instancu HDS baze podataka na Microsoft SQL serveru kao glavno ime usluge (SPN) na Active Directory. Pogledajte članak Registrovanje glavnog imena usluge za Kerberos veze.

                                                                                                                                                    Alatka za podešavanje HDS, HDS pokretanje i lokalni KMS moraju da koriste Windows potvrdu identiteta za pristup bazi podataka ključeva. Oni koriste detalje iz vaše konfiguracije ISO za konstrukciju SPN-a kada zahtevaju pristup pomoću Kerberos potvrde identiteta.

                                                                                                                                                  Zahtevi za spoljno povezivanje

                                                                                                                                                  Konfigurišite zaštitni zid da biste omogućili sledeće mogućnosti povezivanja za HDS aplikacije:

                                                                                                                                                  Aplikacija

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Smer iz aplikacije

                                                                                                                                                  Odredište

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS i WSS

                                                                                                                                                  Alatka za podešavanje HDS-a

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odlazni HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Svi organizatori zajedničkog identiteta

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Čvorovi za hibridnu bezbednost podataka rade sa prevodom pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid omogućavaju potrebne odlazne veze sa odredištima domena u pređašnje tabeli. Za veze koje ide do čvorova za hibridnu bezbednost podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vaših centar za podatke, klijentima je potreban pristup čvorovima hibridne bezbednosti podataka na TCP portovima 443 i 22, u administrativne svrhe.

                                                                                                                                                  URL adrese za hostove zajedničkog identiteta (CI) su specifične za region. Ovo su trenutni CI organizatori:

                                                                                                                                                  Regiona

                                                                                                                                                  URL adrese organizatora zajedničkog identiteta

                                                                                                                                                  Amerike

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropska unija

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Zahtevi proxy servera

                                                                                                                                                  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integriše sa vašim čvorovima za hibridnu bezbednost podataka.

                                                                                                                                                    • Prozirni proxy— Cisco uređaj za veb-bezbednost (WSA).

                                                                                                                                                    • Eksplicitni proxy server – lignja.


                                                                                                                                                       

                                                                                                                                                      Proxy proxy serveri koji pregledaju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) Veze. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje lignje proxy servera za hibridnu bezbednost podataka.

                                                                                                                                                  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proxy servere:

                                                                                                                                                    • Nema potvrde identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Osnovna potvrda identiteta sa HTTP ili HTTPS-om

                                                                                                                                                    • Digest potvrda identiteta samo SA HTTPS-om

                                                                                                                                                  • Za prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, morate da imate kopiju proxy servera za korenski sertifikat. Uputstvo za primenu u ovom vodiču vam govori kako da otpremite kopiju u pouzdana skladišta čvorova hibridne bezbednosti podataka.

                                                                                                                                                  • Mrežno hostovanje HDS čvorova mora biti konfigurisano da nametne odlazne TCP saobraćaju na portu 443 da bi se usmerio preko proxy servera.

                                                                                                                                                  • Proxy korisnici koji pregledaju veb-saobraćaj mogu da ometaju veze veb-priključka. Ako dođe do ovog problema, zaobiđite saobraćaj (ne pregledajući) na wbx2.com i ciscospark.com će rešiti problem.

                                                                                                                                                  Ispunite preduslove za hibridnu bezbednost podataka

                                                                                                                                                  Koristite ovu listu za proveru da biste bili spremni za instaliranje i konfigurisanje klastera hibridne bezbednosti podataka.
                                                                                                                                                  1

                                                                                                                                                  Uverite se da je Webex organizacija omogućena za Pro Pack za Cisco Webex Control Hub i nabavite akreditive naloga sa punim pravima administratora organizacije. Obratite se Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.

                                                                                                                                                  2

                                                                                                                                                  Odaberite naziv domena za HDS primenu (na primer, hds.company.com) i nabavite lanac sertifikata koji sadrži X.509 sertifikat, privatni ključ i sve posredne sertifikate. Sertifikat lanac sertifikata ispuniti zahteve u zahtevima za sertifikat X.509.

                                                                                                                                                  3

                                                                                                                                                  Pripremite identične virtuelne organizatore koje ćete podesiti kao čvorove za hibridnu bezbednost podataka u svom klasteru. Potrebna su vam najmanje dva zasebna organizatora (3 preporučena) u istom bezbednom centar za podatke koji ispunjavaju zahteve u zahtevima virtuelnih organizatora.

                                                                                                                                                  4

                                                                                                                                                  Pripremite server baze podataka koji će delovati kao ključ za skladištenje podataka za klaster, u skladu sa zahtevima servera baze podataka. Organizatori server baze podataka buduконфигурисани у чекању centar za podatke virtuelnim organizatorima.

                                                                                                                                                  1. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka – nemojte da koristite podrazumevanu bazu podataka. HDS aplikacije, kada je instalirana, kreirajte šemu baze podataka.)

                                                                                                                                                  2. Prikupite detalje koje će čvorovi koristiti za komunikaciju sa server baze podataka:

                                                                                                                                                    • organizator ime hosta ili IP adresa (organizator) i port

                                                                                                                                                    • ime baze podataka (dbname) za skladištenje ključa

                                                                                                                                                    • korisničko ime i lozinka korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva

                                                                                                                                                  5

                                                                                                                                                  Za brze oporavljanje nakon katastrofe, podesiti rezervno okruženje u drugom centar za podatke. Rezervno okruženje preslikava proizvodno okruženje VMs i rezervne server baze podataka. Na primer, ako proizvodnja ima 3 VMS koji imaju HDS čvorove, rezervno okruženje bi trebalo da ima 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Podesite organizatora syslog za prikupljanje evidencija iz čvorova u klasteru. Prikupite mrežna adresa i syslog port (podrazumevano je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Kreirajte bezbednu politiku pravljenja rezervnih kopija za čvorove hibridne bezbednosti podataka, server baze podataka i organizatora sistemskog sistema. U minimumu, da biste sprečili nepoplaćivanje gubitka podataka, morate da napravite pozadinu baze podataka i datoteku ISO konfiguracije koja je generisana za čvorove hibridne bezbednosti podataka.


                                                                                                                                                   

                                                                                                                                                  Pošto čvorovi za hibridnu bezbednost podataka čuvaju ključeve koji se koriste u šifrovanju i dešifrovanju sadržaja, neuspeh operativne primene dovešće do nepoprijetnog gubitka tog sadržaja.

                                                                                                                                                  Klijenti aplikacije Webex keše svoje ključeve, tako da pre prekida rada možda neće biti odmah primetnljiv, ali će vremenom postati vidljivi. Iako je nemoguжe sprečiti privremene prekšiljanje, mogu se oporavljati. Međutim, potpuni gubitak (nema dostupnih rezervnih kopija) baze podataka ili datoteka ISO konfiguracije doveže do nepoplatnih podataka o kupcima. Operateri čvorova za hibridnu bezbednost podataka očekuju da zadrže česta rezervna kopija baze podataka i datoteke ISO konfiguracije i spremni su da ponovo izradite alatku za hibridnu bezbednost centar za podatke ako dođe do katastrofalnog neuspeha.

                                                                                                                                                  8

                                                                                                                                                  Uverite se da konfiguracija zaštitnog zida omogućava povezivanje za čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima spoljne povezanosti.

                                                                                                                                                  9

                                                                                                                                                  Instalirajte Docker ( https://www.docker.com) na bilo kom lokalnom računaru sa podržanim OS-om (Microsoft Windows 10 Profesionalni ili Enterprise 64-bitni ili Mac OSX Yosemite 10.10.3 ili noviji) sa veb-pregledačem koji može da mu pristupi na http://127.0.0.1:8080.

                                                                                                                                                  Instancu Docker koristite za preuzimanje i pokretanje alatke za podešavanje HDS-a koja gradi lokalne informacije o konfiguraciji za sve čvorove hibridne bezbednosti podataka. Možda će vašoj organizaciji biti potrebna Licenca za Docker Desktop. Više informacija potražite u zahtevima docker radne površine.

                                                                                                                                                  Da biste instalirali i pokrenuli alatku za podešavanje HDS-a, lokalni računar mora da ima ojačenu povezanost u zahtevima za spoljno povezivanje.

                                                                                                                                                  10

                                                                                                                                                  Ako integrišete proxy server sa hibridnom zaštitom podataka, uverite se da ispunjava zahteve proxy servera.

                                                                                                                                                  11

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directory pozvali HdsTrialGroup, i dodajte pilot korisnike. Probna grupa može da ima do 250 korisnika. / HdsTrialGroup objekat mora biti sinhronizovan sa oblakom da biste mogli da pokrenete probnu verziju za svoju organizaciju. Da biste sinhronizovali grupni objekat, izaberite ga u meniju "Konfiguracija > objekta". (Za detaljna uputstva pogledajte uputstvo za primenu za Cisco sinhronizator direktorijuma.)


                                                                                                                                                   

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Kada birate pilot korisnike, imajte na umu da, ako odlučite da trajno deaktivirate primenu hibridne bezbednosti podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledno čim aplikacije korisnika osveže kešizovane kopije sadržaja.

                                                                                                                                                  Podešavanje klastera hibridne bezbednosti podataka

                                                                                                                                                  Tok zadatka primene hibridne bezbednosti podataka

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Pripremite svoje okruženje

                                                                                                                                                  1

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  Preuzmite OVA datoteku na svoj lokalni računar za kasnije korišćenje.

                                                                                                                                                  2

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Koristite alatku za podešavanje HDS-a da biste ISO datoteka sa konfiguracijom za čvorove hibridne bezbednosti podataka.

                                                                                                                                                  3

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Kreirajte virtuelna mašina iz OVA datoteke i izvršite početnu konfiguraciju, kao što je podešavanja mreže.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  4

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  5

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Konfigurišite VM na ISO datoteka sa konfiguracijom koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  6

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva konfiguraciju proxy servera, navedite tip proxy servera koji ćete koristiti za čvor i po potrebi dodati proxy sertifikat u skladište pouzdanosti.

                                                                                                                                                  7

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Registrujte VM na Cisco Webex oblak kao čvor za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Dovršite podešavanje klastera.

                                                                                                                                                  9

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)

                                                                                                                                                  Dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Preuzmi instalacione datoteke

                                                                                                                                                  U ovom zadatku, preuzimate OVA datoteku na svoj računar (ne na servere koje podesiti kao čvorove za hibridnu bezbednost podataka). Kasnije koristite ovu datoteku u procesu instalacije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim kliknite na "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite karticu hibridna bezbednost podataka, a zatim kliknite na " Podesi".

                                                                                                                                                  Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partneroj organizaciji. Dajte im svoj broj naloga i zatražite da omoguće svojoj organizaciji hibridnu bezbednost podataka. Da biste pronašli broj naloga, kliknite na zupčanici u gornjem desnom uglu, pored imena organizacije.


                                                                                                                                                   

                                                                                                                                                  OVA možete da preuzmete i u bilo kom trenutku iz odeljka " Pomoć" na stranici "Podešavanja ". Na kartici za hibridnu bezbednost podataka kliknite na "Uredi podešavanja" da biste otvorili stranicu. Zatim kliknite na " Preuzmi softver za hibridnu bezbednost podataka" u odeljku " Pomoć".


                                                                                                                                                   

                                                                                                                                                  Starije verzije softverskih paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama za hibridnu bezbednost podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Obavezno preuzmite najnoviju verziju OVA datoteke.

                                                                                                                                                  3

                                                                                                                                                  Izaberite " Ne" da biste naznačili da još uvek podesiti čvor, a zatim kliknite na "Dalje ".

                                                                                                                                                  OVA datoteka automatski počinje da preuzima. Sačuvajte datoteku na lokaciji na računaru.
                                                                                                                                                  4

                                                                                                                                                  Opcionalno, kliknite na uputstvo za primenu da biste proverili da li postoji novija verzija ovog vodiča.

                                                                                                                                                  Kreiranje konfiguracije ISO za HDS organizatore

                                                                                                                                                  Proces podešavanja hibridne bezbednosti podataka kreira datoteku ISO datoteke. Zatim koristite ovu ISO da biste konfigurisali organizatora za hibridnu bezbednost podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada u koraku 5 unesite docker kontejner . Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Datoteka za ISO koju generišete sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potrebna vam je najnovija kopija ove datoteke u bilo kom trenutku kada promenite konfiguraciju, kao što su ove:

                                                                                                                                                    • Akreditivi baze podataka

                                                                                                                                                    • Ažuriranja sertifikata

                                                                                                                                                    • Promene smernica autorizacije

                                                                                                                                                  • Ako planirate da šifrujete veze sa bazom podataka, podesiti PostgreSQL ili SQL primenu servera za TLS.

                                                                                                                                                  1

                                                                                                                                                  Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2

                                                                                                                                                  Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Na upit za lozinku unesite ovaj hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                  U redovnim okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  U FedRAMP okruženjima:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                  • U redovnim okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U redovnim okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • U FedRAMP okruženjima bez proxy servera:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTP proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • U FedRAMP okruženjima sa HTTPS proxy serverom:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Kada je kontejner pokrenut, vidite "Express server sluša na portu 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Alatka za podešavanje ne podržava povezivanje sa lokalnim standardom putem http://localhost:8080. Koristite http://127.0.0.1:8080 za povezivanje sa lokalhostom.

                                                                                                                                                  Koristite veb-pregledač za pristup lokalnom organizatoru, http://127.0.0.1:8080, a zatim unesite korisničko ime administratora kupca za Control Hub na upit.

                                                                                                                                                  Alatka koristi ovaj prvi unos korisničkog imena da bi postavila odgovarajuće okruženje za taj nalog. Alatka zatim prikazuje standardni upit za prijavljivanje.

                                                                                                                                                  7

                                                                                                                                                  Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora kupca na portalu Control Hub, a zatim kliknite na "Prijavi se" da biste dozvolili pristup potrebnim uslugama za hibridnu bezbednost podataka.

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Pregled alatke za podešavanje" kliknite na "Prvi koraci".

                                                                                                                                                  9

                                                                                                                                                  Na stranici za ISO uvoz imate sledeće opcije:

                                                                                                                                                  • Ne – Ako kreirate svoj prvi HDS čvor, nemate datoteku ISO koju želite da otpremite.
                                                                                                                                                  • Da – Ako ste već kreirali HDS čvorove, onda ISO datoteku u pregledanju i otpremite je.
                                                                                                                                                  10

                                                                                                                                                  Proverite da li vaš X.509 sertifikat ispunjava zahteve u X.509 zahtevima sertifikata.

                                                                                                                                                  • Ako nikada pre niste otpremili sertifikat, otpremite X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat U redu, kliknite na "Nastavi ".
                                                                                                                                                  • Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite "Ne" za nastavak korišćenja HDS lanac sertifikata i privatnog ključa iz prethodnih ISO?. Otpremite novi X.509 sertifikat, unesite lozinku i kliknite na "Nastavi ".
                                                                                                                                                  11

                                                                                                                                                  Unesite adresu baze podataka i nalog za HDS da biste pristupili usluzi podataka ključa:

                                                                                                                                                  1. Izaberite tip baze podataka (PostgreSQL ili Microsoft SQL server).

                                                                                                                                                    Ako odaberete Microsoft SQL server, dobićete vrsta autentifikacije polje.

                                                                                                                                                  2. (Samo Microsoft SQL server ) Izaberite svoje vrsta autentifikacije:

                                                                                                                                                    • Osnovna potvrda identiteta: Potreban vam je lokalni SQL server ime naloga polje " Korisničko ime ".

                                                                                                                                                    • Windows potvrda identiteta: Potreban vam je Windows nalog u formatu username@DOMAIN u polju "Korisničko ime ".

                                                                                                                                                  3. Unesite server baze podataka adresu u obrazac <hostname>:<port> ili <IP-address>:<port>.

                                                                                                                                                    Primer:
                                                                                                                                                    dbhost.example.org:1433 ili 198.51.100.17:1433

                                                                                                                                                    Možete da koristite IP adresa za osnovnu potvrdu identiteta, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

                                                                                                                                                    Ako koristite Windows potvrdu identiteta, morate da unesete potpuno određeno ime domena u formatu dbhost.example.org:1433

                                                                                                                                                  4. Унесите назив ба

                                                                                                                                                  5. Unesite korisničko ime i lozinku korisnika sa svim privilegijama u bazi podataka za skladištenje ključeva.

                                                                                                                                                  12

                                                                                                                                                  Izaberite TLS režima povezivanja baze podataka:

                                                                                                                                                  Režim

                                                                                                                                                  Opis

                                                                                                                                                  Preferira TLS (podrazumevana opcija)

                                                                                                                                                  HDS čvorovi ne zahtevaju TLS za povezivanje sa server baze podataka. Ako omogućite TLS na server baze podataka, čvorovi pokušavaju da šifrovanju vezu.

                                                                                                                                                  Zahtevaj TLS

                                                                                                                                                  HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata


                                                                                                                                                   

                                                                                                                                                  Ovaj režim nije primenljiv za SQL baze podataka servera.

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Zahtevajte TLS i potvrdite potpisivanje sertifikata i ime hosta

                                                                                                                                                  • HDS čvorovi se povezuju samo ako server baze podataka mogu da pregovaraju o TLS-u.

                                                                                                                                                  • Nakon uspostavljanja TLS, čvor upoređuje potpisnik sertifikata iz server baze podataka autoriteta za izdavanje sertifikata u listi za korenski sertifikat. Ako se ne podudaraju, čvor prekida vezu.

                                                                                                                                                  • Čvorovi takođe potvrđuju da se ime hosta u sertifikat servera podudara sa imenom hosta u hostu baze podataka i portu polja. Imena se moraju tačno podudarati ili čvor ispusti vezu.

                                                                                                                                                  Upotrebite bazu podataka korenski sertifikat ispod padajućeg mena da biste otpremili korenski sertifikat za ovu opciju.

                                                                                                                                                  Kada otpremite korenski sertifikat (ako je potrebno) i kliknete na "Nastavi", alatka za podešavanje HDS-a testira TLS vezu sa server baze podataka. Alatka takođe potvrđuje potpisivanje sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alatka prikazuje alatku poruka o grešci koja opisuje problem. Možete da odaberete da li želite da zanemarite grešku i nastavite sa podešavanjem. (Zbog razlika u mogućnosti povezivanja, HDS čvorovi će možda moći da uspostave vezu TLS čak i ako mašina alatke za podešavanje HDS-a ne može uspešno da je testira.)

                                                                                                                                                  13

                                                                                                                                                  Na stranici "Sistemske evidencije" konfigurišite Syslogd server:

                                                                                                                                                  1. Unesite Syslog server URL.

                                                                                                                                                    Ako server nije DNS razrešen iz čvorova za HDS klaster, koristite jedan IP adresa u URL.

                                                                                                                                                    Primer:
                                                                                                                                                    udp://10.92.43.23:514 označava evidentiranje na Syslogd host 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Ako želite podesiti server da TLS šifrovanje, proverite da li je syslog server konfigurisan za SSL šifrovanje?.

                                                                                                                                                    Ako proverite ovu polje za potvrdu, uverite se da ste uneli TCP URL kao što je tcp://10.92.43.23:514.

                                                                                                                                                  3. U padajućem meniju Izbor zapisa sistemskog zapisa odaberite odgovarajuće podešavanje za datoteku ISO datoteku: Izbor ili novi red se koristi za Grejlog i Rsyslog TCP

                                                                                                                                                    • Bajt bez vrednosti -- \x00

                                                                                                                                                    • Nova linija -- \n–Izaberite ovaj izbor za Sivilog i Rsyslog TCP.

                                                                                                                                                  4. Kliknite na dugme Nastavi.

                                                                                                                                                  14

                                                                                                                                                  (Opcionalno) U napredna podešavanja možete podrazumevana vrednost za neke parametre veze sa bazom podataka. Generalno, ovaj parametar je jedini koji želite da promenite:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknite na "Nastavi " na ekranu "Resetuj lozinku za naloge za usluge ".

                                                                                                                                                  Lozinke naloga za usluge imaju životni vek od devet meseci. Koristite ovaj ekran kada lozinke ističe ili želite da ih resetujete kako biste poništili prethodne ISO datoteke.

                                                                                                                                                  16

                                                                                                                                                  Kliknite na "Preuzmi ISO datoteku". Sačuvajte datoteku na lokaciji koju je lako pronaći.

                                                                                                                                                  17

                                                                                                                                                  Napravite rezervnu kopiju datoteke ISO na lokalnom sistemu.

                                                                                                                                                  Osigurajte rezervnu kopiju. Ova datoteka sadrži glavnu ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo administratorima za hibridnu bezbednost podataka koji bi trebalo da unesu promene konfiguracije.

                                                                                                                                                  18

                                                                                                                                                  Da biste isključili alatku za podešavanje, otkucajte CTRL+C.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Napravite napravite pozadinu datoteke ISO konfiguracije. Potrebno je da kreirate više čvorova za oporavak ili da biste uneli promene konfiguracije. Ako izgubite sve kopije datoteke ISO, izgubili ste i glavni ključ. Spasavanje ključeva iz PostgreSQL ili Microsoft SQL servera baze podataka nije moguće.


                                                                                                                                                   

                                                                                                                                                  Nikada nemamo kopiju ovog ključa i ne možemo da odolimo ako ga izgubite.

                                                                                                                                                  Instaliraj HDS host OVA

                                                                                                                                                  Koristite ovu proceduru da biste virtuelna mašina iz OVA datoteke.
                                                                                                                                                  1

                                                                                                                                                  Koristite VMware vSphere klijent na računaru da biste se prijavili u ESXi virtuelnog organizatora.

                                                                                                                                                  2

                                                                                                                                                  Izaberite datoteku > primeni OVF šablon.

                                                                                                                                                  3

                                                                                                                                                  U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na "Dalje " .

                                                                                                                                                  4

                                                                                                                                                  Na stranici Izbor imena i fascikle unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), odaberite lokaciju na kojoj može da se virtuelna mašina primena čvora,a zatim kliknite na "Dalje".

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Izaberite izračunaj resurs" odaberite odredišni resurs za izračunavanje, a zatim kliknite na "Dalje".

                                                                                                                                                  Pokrenuta je provera valjanosti. Kada se završi, pojavljuju se detalji obrasca.

                                                                                                                                                  6

                                                                                                                                                  Proverite detalje obrasca, a zatim kliknite na "Dalje ".

                                                                                                                                                  7

                                                                                                                                                  Ako od vas zatraže da odaberete konfiguraciju resursa na stranici konfiguracija,kliknite na CPU, a zatim kliknite na "Dalje".

                                                                                                                                                  8

                                                                                                                                                  Na stranici "Izbor skladišta" kliknite na "Dalje" da biste prihvatili podrazumevani format diska i VM smernice za skladištenje.

                                                                                                                                                  9

                                                                                                                                                  Na stranici Izbor mreža izaberite opciju mreže sa liste unosa da biste obezbedili željenu povezanost sa VM.

                                                                                                                                                  10

                                                                                                                                                  Na stranici Prilagođavanje šablona konfigurišite sledeće podešavanja mreže:

                                                                                                                                                  • Ime hosta – Unesite FQDN (ime hosta i domen) ili ime hosta jedne reči za čvor.

                                                                                                                                                     
                                                                                                                                                    • Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                    • Da biste osigurali uspešnu registraciju za oblak, koristite samo manje znakove u FQDN-u ili ime hosta koje ste postavili za čvor. Velika sniženja trenutno nisu podržana.

                                                                                                                                                    • Ukupna dužina FQDN-a ne sme da premašuje 64 znaka.

                                                                                                                                                  • IP– unesite IP adresa za interni interfejs čvora.

                                                                                                                                                     

                                                                                                                                                    Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  • Maska – unesite maska podmreže adresu u decimalnoj tački. Na primer, 255.255.255.0.
                                                                                                                                                  • Mrežni prolaz — unesite mrežni prolaz IP adresa. Mrežni prolaz je mrežni čvor koji služi kao pristupna tačka drugoj mreži.
                                                                                                                                                  • DNS serveri – Unesite listu servera odvojenih zapetom DNS koji obrađuju prenošenje imena domena na numeričke IP adrese. (Dozvoljeno je najviše 4 DNS unosa.)
                                                                                                                                                  • NTP serveri – Unesite podatke svoje organizacije NTP server ili drugi spoljni NTP server koji mogu da se koriste u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete da koristite listu odvojenu zapetom da biste uneli više NTP servera.
                                                                                                                                                  • Primenite sve čvorove na istoj podmreži ili VLAN tako da svi čvorovi u klasteru budu dostupni od klijenata u vaše mreže u administrativne svrhe.

                                                                                                                                                  Ako je poželjno, možete preskočiti konfiguraciju mrežnih podešavanja i slediti korake u odeljku Podešavanje hibridne bezbednosti VM da biste konfigurisali podešavanja sa konzole čvora.


                                                                                                                                                   

                                                                                                                                                  Opcija konfigurisanja podešavanja mreže tokom primene OVA testirana je pomoću ESXi 6.5. Opcija možda neće biti dostupna u ranijim verzijama.

                                                                                                                                                  11

                                                                                                                                                  Kliknite desnim tasterom miša na čvor VM, a zatim izaberite stavku Napajanje > napajanje.

                                                                                                                                                  Softver za hibridnu bezbednost podataka je instaliran kao gost na VM organizatoru. Sada ste spremni da prijaviti se konzolu i konfigurišete čvor.

                                                                                                                                                  Saveti za rešavanje problema

                                                                                                                                                  Može doći do kašnjenja nekoliko minuta pre nego što se zadrže kontejneri čvora. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja sistema, tokom koje ne možete da prijaviti se.

                                                                                                                                                  Podešavanje funkcije hibridne bezbednosti podataka VM

                                                                                                                                                  Prvi put koristite ovu proceduru da biste prijaviti se na čvor za hibridnu bezbednost podataka VM konzolu i podesili akreditive za prijavljivanje. Konzolu možete da koristite da biste konfigurisali podešavanja mreže za čvor ako ih niste konfigurisali u vreme primene OVA.

                                                                                                                                                  1

                                                                                                                                                  U VMware vSphere klijentu izaberite svoj čvor za hibridnu bezbednost podataka VM i izaberite karticu "Konzola".

                                                                                                                                                  Datoteka VM se pokreće i pojavljuje se odzivnik za prijavljivanje. Ako se upit za prijavljivanje ne prikaže, pritisnite Enter.
                                                                                                                                                  2

                                                                                                                                                  Koristite sledeću podrazumevanu lozinku za prijaviti se i promenite akreditive:

                                                                                                                                                  1. Prijavljivanje: admin

                                                                                                                                                  2. Lozinka: cisco

                                                                                                                                                  Pošto se po prvi put VM prijavite na sastanak, morate da promenite lozinku administratora.

                                                                                                                                                  3

                                                                                                                                                  Ako ste već konfigurisali podešavanja mreže u instalaciji HDS host OVA, preskočite ostatak ove procedure. U suprotnom, u glavni meni izaberite opciju Uredi konfiguraciju .

                                                                                                                                                  4

                                                                                                                                                  Podesite statičnu konfiguraciju sa IP adresa, Mask, mrežnim prolazom i DNS informacijama. Vaš čvor bi trebalo da ima interno IP adresa i DNS ime. DHCP nije podržano.

                                                                                                                                                  5

                                                                                                                                                  (Opcionalno) Promenite ime hosta, domen ili NTP server(e) ako je potrebno da se podudara sa smernicama vaše mreže.

                                                                                                                                                  Ne morate da podesite domen tako da se podudara sa domenom koji ste koristili za dobijanje X.509 sertifikata.

                                                                                                                                                  6

                                                                                                                                                  Sačuvajte mrežna konfiguracija i ponovo pokrenite VM biste promene stupile na snagu.

                                                                                                                                                  Otpremite i postavite HDS ISO

                                                                                                                                                  Koristite ovu proceduru da biste konfigurisali virtuelna mašina iz ISO koju ste kreirali pomoću alatke za podešavanje HDS-a.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Budući da ISO datoteka ima glavni ključ, ona bi trebalo da bude izložena samo na osnovu "mora da se zna", radi pristupa VM-ova za hibridnu bezbednost podataka i bilo kog administratora koji će možda morati da unesu promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

                                                                                                                                                  1

                                                                                                                                                  Otpremite datoteku ISO sa računara:

                                                                                                                                                  1. U levom oknu za navigaciju VMware vSphere klijenta kliknite na ESXi server.

                                                                                                                                                  2. Na listi hardvera kartice Konfiguracija kliknite na "Skladište ".

                                                                                                                                                  3. Na listi Skladišta podataka desni klik na skladištu podataka za VM-ove i kliknite na " Pregledaj skladište podataka".

                                                                                                                                                  4. Kliknite na ikonu "Otpremi datoteke", a zatim kliknite na "Otpremi datoteku".

                                                                                                                                                  5. Potražite lokaciju na kojoj ste preuzeli datoteku ISO na računar i kliknite na "Otvori ".

                                                                                                                                                  6. Kliknite na dugme " Da" da biste prihvatili upozorenje o operaciji otpremanja/preuzimanja i zatvorili dijalog za skladište podataka.

                                                                                                                                                  2

                                                                                                                                                  Postavite ISO datoteku:

                                                                                                                                                  1. U levom oknu za navigaciju klijenta VMware vSphere izaberite desni klik na VM-u i kliknite na " Uredi podešavanja".

                                                                                                                                                  2. Kliknite U redu da biste prihvatili upozorenje o ograničenim opcijama za uređivanje.

                                                                                                                                                  3. Kliknite na CD/DVD Drive 1, izaberite opciju montiranja iz datoteke ISO skladišta podataka i pregledajte lokaciju na koju ste otpremili datoteku ISO konfiguracije.

                                                                                                                                                  4. Proverite da li je povezano i da li je uključeno povezivanje.

                                                                                                                                                  5. Sačuvajte promene i ponovo pokrenite virtuelna mašina.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Ako vaše IT smernice zahtevaju, možete opcionalno da uklonite ISO datoteku nakon što svi čvorovi preuzmu promene konfiguracije. Detaljnije informacije potražite u članku (opcionalno) uklanjanje ISO nakon HDS konfiguracije .

                                                                                                                                                  Konfigurisanje HDS čvora za integraciju proxy servera

                                                                                                                                                  Ako mrežno okruženje zahteva proxy server, koristite ovaj postupak da biste odredili tip proxy servera koji želite da se integrišete sa hibridnom zaštitom podataka. Ako odaberete prozirni proxy server za inspekciju ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvora za otpremanje i instaliranje korenski sertifikat. Takođe možete da proverite proxy vezu iz interfejsa i rešite sve potencijalne probleme.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  1

                                                                                                                                                  Unesite podešavanje HDS URL https://[HDS Node IP or FQDN]/setup u veb-pregledač unesite akreditive administratora koje ste podesiti za čvor, a zatim kliknite na "Prijavi se".

                                                                                                                                                  2

                                                                                                                                                  Idite u Prodavnicu pouzdanosti i proxy server, a zatim odaberite neku opciju:

                                                                                                                                                  • Nema proxy servera – podrazumevana opcija pre nego što integrišete proxy server. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server bez inspekcije – čvorovi nisu konfigurisani da koriste određenu proksi server adresu i ne bi trebalo da zahtevaju nikakve promene za rad sa proxy serverom koji ne pregleda. Nije potrebno ažuriranje sertifikata.
                                                                                                                                                  • Prozirni proxy server za ispitivanje – čvorovi nisu konfigurisani za korišćenje određene proksi server adrese. Nikakve promene HTTPS konfiguracije nisu potrebne za primenu hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban korenski sertifikat tako da imaju poverenja u proxy server. IT sistemi obično koriste inspekciju za primenu smernica preko kojih mogu da se posećuju veb-lokacije i koje vrste sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifrova sav vaš saobraćaj (čak i HTTPS).
                                                                                                                                                  • Eksplicitni proxy – Sa eksplicitnim proxy serverom govorite klijentu (HDS čvorovi) koji proksi server koristiti i ova opcija podržava nekoliko tipova potvrde identiteta. Nakon što izaberete ovu opciju, morate da unesete sledeće informacije:
                                                                                                                                                    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy računaru.

                                                                                                                                                    2. Proxy port – A broj priključka proxy servera koristi za slušanje proksi saobraćaja.

                                                                                                                                                    3. Proxy protokolOdaberite http (pregleda i kontroliše sve zahteve koji su primljeni iz klijenta) ili https (obezbeđuje kanal za server i klijent prima i proverava valjanost sertifikata servera). Izaberite opciju na osnovu toga šta proksi server podržavaju.

                                                                                                                                                    4. vrsta autentifikacije – Izaberite jedan od sledećih tipova potvrde identiteta:

                                                                                                                                                      • Nijedna – nije potrebna dodatna potvrda identiteta.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                      • Osnovna – koristi se za HTTP korisničkog agenta za navedite korisničko ime i lozinku prilikom upućivanje zahteva. Koristi Base64 kodiranje.

                                                                                                                                                        Dostupno za HTTP ili HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                      • Digest – koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje funkciju hash-a na korisničko ime i lozinku pre slanja preko mreže.

                                                                                                                                                        Dostupno samo za HTTPS proxy servere.

                                                                                                                                                        Ako odaberete ovu opciju, takođe morate da unesete korisničko ime i lozinku.

                                                                                                                                                  Sledite sledeće korake za prozirni proxy server za inspekciju, HTTP eksplicitni proxy sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

                                                                                                                                                  3

                                                                                                                                                  Kliknite na otpremi vrhovni sertifikat ili sertifikat krajnjih entiteta, a zatim se krećite do biranja korenski sertifikat za proxy servera.

                                                                                                                                                  Sertifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševron po imenu izdaoca sertifikata da biste dobili više detalja ili kliknite na "Izbriši" ako ste napravili grešku i želite ponovo da otpremite datoteku.

                                                                                                                                                  4

                                                                                                                                                  Kliknite na dugme "Proveri vezu proxy servera" da biste povezivanje na mrežu između čvora i proxy servera.

                                                                                                                                                  Ako test veze ne uspe, videćete poruka o grešci koja prikazuje razlog i način na koji možete ispraviti problem.

                                                                                                                                                  Ako vidite poruku u koju se kaže da spoljna DNS rezolucija nije bila uspešna, čvor nije mogao da doseže DNS server. Ovo stanje se očekuje u mnogim eksplicitnih konfiguracija proxy servera. Možete da nastavite sa podešavanjem, a čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je u pitanju greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS rezolucije.

                                                                                                                                                  5

                                                                                                                                                  Nakon što probni test veze prođe, za eksplicitni proksi postavljen samo na https, uključite preklopno dugme da biste usmerili sve portove 443/444 https zahteva ovog čvora preko eksplicitnog proxy servera. Ovo podešavanje zahteva 15 sekundi da stupi na snagu.

                                                                                                                                                  6

                                                                                                                                                  Kliknite na "Instaliraj sve sertifikate u prodavnicu pouzdanosti" (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni proxy za inspekciju) ili ponovo pokreni (pojavljuje se za HTTP explicit proxy), pročitajte upit, a zatim kliknite na "Instaliraj" ako ste spremni.

                                                                                                                                                  Čvor se ponovo pokrenuti u roku od nekoliko minuta.

                                                                                                                                                  7

                                                                                                                                                  Kada se čvor ponovo pokrene, prijaviti se ponovo po potrebi, a zatim otvorite stranicu Pregled da biste proverili provere mogućnosti povezivanja kako biste se uverili da su svi u zelenom statusu.

                                                                                                                                                  Proverom proksi veze testira se samo poddomen webex.com. Ako postoje problemi sa mogućnostima povezivanja, uobičajeni problem je što se neki od domena u oblaku navedeni u uputstvima za instaliranje blokiraju na proxy serveru.

                                                                                                                                                  Registrujte prvi čvor u klasteru

                                                                                                                                                  Ovaj zadatak ima generički čvor koji ste kreirali u opciji Podešavanje hibridne bezbednosti podataka VM, registruje čvor na Webex oblaku i pretvara ga u čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Kada registrujete svoj prvi čvor, kreirate klaster kojem je dodeljen čvor. Klaster sadrži jedan ili više čvorova primenjenih da bi se obezbedila redundantnost.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  U meniju sa leve strane ekrana izaberite "Usluge ".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na " Podesi".

                                                                                                                                                  Pojaviće se stranica "Registruj čvor za hibridnu bezbednost podataka".
                                                                                                                                                  4

                                                                                                                                                  Izaberite " Da" da biste naznačili podesiti čvor i spremni ste da ga registrujete, a zatim kliknite na "Dalje ".

                                                                                                                                                  5

                                                                                                                                                  U prvo polje unesite ime klastera kom želite da dodelite svoj čvor za hibridnu bezbednost podataka.

                                                                                                                                                  Preporučujemo da klaster imenujete na osnovu toga gde se geografski nalaze čvorovi klastera. Primeri: "San Francisko" ili "Njujork" ili "Dalas"

                                                                                                                                                  6

                                                                                                                                                  U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                  Ovaj IP adresa ili FQDN treba da se podudara sa IP adresa imenom hosta i domenom koji ste koristili u opciji Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u aplikaciji Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknite na "Idi u čvor".

                                                                                                                                                  8

                                                                                                                                                  Kliknite na " Nastavi" u poruka upozorenja.

                                                                                                                                                  Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole vašoj Webex organizaciji za pristup vašem čvoru.
                                                                                                                                                  9

                                                                                                                                                  Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                  Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  10

                                                                                                                                                  Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Na stranici za hibridnu bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

                                                                                                                                                  Kreirajte i registrujte više čvorova

                                                                                                                                                  Da biste dodali dodatne čvorove u svoj klaster, jednostavno kreirajte dodatne VM-ove i postavite istu datoteku ISO konfiguracije, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

                                                                                                                                                   

                                                                                                                                                  U ovom trenutku rezervni VM-oporavljanje nakon katastrofe koje ste kreirali u opciji "Ispuni preduslove za hibridnu bezbednost podataka" su organizatori u pripravnosti koji se koriste samo u oporavljanje nakon katastrofe; nisu registrovani u sistemu do tada. Više detalja potražite u članku " Oporavak od katastrofe" pomoću centra podataka u režimu pripravnosti.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Kada započnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate da počnete iz početka.

                                                                                                                                                  • Uverite se da su svi blokatori iskačućih prozora u pregledaču onemogućeni ili da dozvoljavate izuzetke od admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Kreirajte novu virtuelna mašina iz OVA, ponavljajući korake u vašoj instalaciji HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Podesite početnu konfiguraciju na novom uređaju VM ponavljajući korake u odeljku Podešavanje hibridne bezbednosti VM.

                                                                                                                                                  3

                                                                                                                                                  Na novoj stranici VM ponovite korake u opciji Otpremanje i montiranje HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Ako podešate proxy server za primenu, ponovite korake u podešavanju HDS čvora za proxy integraciju po potrebi za novi čvor.

                                                                                                                                                  5

                                                                                                                                                  Registrujte čvor.

                                                                                                                                                  1. U https://admin.webex.comokviru stavke , izaberite "Usluge" u meniju sa leve strane ekrana.

                                                                                                                                                  2. U odeljku Hibridne usluge pronađite karticu Hibridna bezbednost podataka i kliknite na "Resursi ".

                                                                                                                                                    Pojaviće se stranica Resursi za hibridnu bezbednost podataka.
                                                                                                                                                  3. Kliknite na "Dodaj resurs".

                                                                                                                                                  4. U prvom polju izaberite ime postojećeg klastera.

                                                                                                                                                  5. U drugo polje unesite internu IP adresa ili potpuno kvalifikovani naziv domena (FQDN) čvora i kliknite na "Dalje ".

                                                                                                                                                    Pojaviće se poruka koja ukazuje na to da možete da registrujete svoj čvor u Webex oblaku.
                                                                                                                                                  6. Kliknite na "Idi u čvor".

                                                                                                                                                    Nakon nekoliko trenutaka, preusmereni ste na testove mogućnosti povezivanja sa čvorom za Webex usluge. Ako su svi testovi uspešni, pojaviće se stranica "Dozvoli pristup čvoru hibridne bezbednosti podataka". Tamo potvrđ možete da potvrdite da želite da date dozvole svojoj organizaciji za pristup vašem čvoru.
                                                                                                                                                  7. Izaberite polje za potvrdu Dozvoli pristup svom čvoru za hibridnu bezbednost podataka , a zatim kliknite na "Nastavi ".

                                                                                                                                                    Vaš nalog je potvrđen, a poruka "Registracija završena" ukazuje na to da je vaš čvor sada registrovan na Webex oblaku.
                                                                                                                                                  8. Kliknite na vezu ili zatvorite karticu da biste se vratili na stranicu za hibridnu bezbednost podataka na portalu Control Hub.

                                                                                                                                                  Vaš čvor je registrovan. Imajte na umu da dok ne započnete probnu verziju, vaši čvorovi generišu alarm koji ukazuje na to da usluga još uvek nije aktivirana.

                                                                                                                                                  Šta je sledeće

                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju (sledeće poglavlje)
                                                                                                                                                  Pokrenite probnu verziju i premestite se u proizvodnju

                                                                                                                                                  Probna verzija do toka zadatka proizvodnje

                                                                                                                                                  Nakon što podesiti klaster hibridne bezbednosti podataka, možete da pokrenete pilot, dodate korisnike u njega i počnete da ga koristite za testiranje i potvrdu primene u okviru pripreme za prelaženje na proizvodnju.

                                                                                                                                                  1

                                                                                                                                                  Ako je primenljivo, sinhronizujte HdsTrialGroup grupni objekat.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom da biste mogli da započnete probnu verziju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  2

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pokrenite probnu verziju. Dok ne izvršite ovaj zadatak, čvorovi generišu alarm koji ukazuje na to da usluga još nije aktivirana.

                                                                                                                                                  3

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Proverite da li zahtevi za ključ ustupa vašem primeni hibridne bezbednosti podataka.

                                                                                                                                                  4

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Proverite status i podesiti obaveštenja putem e-pošte za alarme.

                                                                                                                                                  5

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  6

                                                                                                                                                  Završite probnu fazu sa jednom od sledećih radnji:

                                                                                                                                                  Aktiviraj probnu verziju

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup grupni objekat za sinhronizaciju sa oblakom pre nego što pokrenete probnu verziju za svoju organizaciju. Uputstva potražite u uputstvo za primenu za Cisco sinhronizator direktorijuma.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u , https://admin.webex.coma zatim izaberite "Usluge".

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Status usluge kliknite na "Pokreni probnu verziju".

                                                                                                                                                  Status usluge se menja u probni režim.
                                                                                                                                                  4

                                                                                                                                                  Kliknite na "Dodaj korisnike " i unesite e-adresa jednog ili više korisnika da biste upravljali pilotiranjem pomoću čvorova za hibridnu bezbednost podataka za usluge šifrovanja i indeksacije.

                                                                                                                                                  (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory upravljajte probnom grupom, HdsTrialGroup.)

                                                                                                                                                  Testirajte primenu hibridne bezbednosti podataka

                                                                                                                                                  Koristite ovu proceduru za testiranje scenarija za šifrovanje hibridne bezbednosti podataka.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Podesite primenu hibridne bezbednosti podataka.

                                                                                                                                                  • Aktivirajte probnu verziju i dodajte nekoliko probnih korisnika.

                                                                                                                                                  • Uverite se da imate pristup sistemu syslog da biste proverili da li se ključni zahtevi prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1

                                                                                                                                                  Tastere za dati prostor postavlja kreator prostora. Prijavite se u aplikaciju Webex kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog korisnika pilota i jednog korisnika koji nije pilot.


                                                                                                                                                   

                                                                                                                                                  Ako deaktivirate primenu hibridne bezbednosti podataka, sadržaj u prostorima koje kreiraju pilot korisnici više neće moći da se pristupa kada zamene kopije ključeva za šifrovanje koje kešira klijent.

                                                                                                                                                  2

                                                                                                                                                  Pošaljite poruke u novi prostor.

                                                                                                                                                  3

                                                                                                                                                  Proverite izlaz Syslog-a da biste proverili da li se zahtevi za ključ prenose na vaše primene hibridne bezbednosti podataka.

                                                                                                                                                  1. Da biste prvo proverili da li korisnik uspostavlja bezbedan kanal za KMS, filtrirajte na kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što su sledeći (identifikatori skraćeni za čitljivost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Da biste proverili da li korisnik zahteva postojeći ključ iz KMS-a, filtrirajte na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Da biste proverili da li korisnik zahteva kreiranje novog KMS ključa, filtrirajte na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Da biste proverili da li ima korisnika koji zahteva kreiranje novog KMS objekta resursa (KRO) kada se kreira prostor ili drugi zaštićeni resurs, filtrirajte na kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Trebalo bi da pronađete unos kao što je:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Nadgledanje ispravne hibridne bezbednosti podataka

                                                                                                                                                  Aplikacija indikator statusa na portalu Control Hub prikazuje vam da li je sve u dobrom okviru primene hibridne bezbednosti podataka. Za proaktivnije upozorenje možete registrovati se obaveštenja putem e-pošte. Bićete upoređeni kada budu primenjeni alarmi ili nadogradnje softvera koji utiču na uslugu.
                                                                                                                                                  1

                                                                                                                                                  U kontrolnom čvorištu izaberite stavku Usluge iz menija sa leve strane ekrana.

                                                                                                                                                  2

                                                                                                                                                  U odeljku Hibridne usluge pronađite hibridnu bezbednost podataka i kliknite na "Podešavanja".

                                                                                                                                                  Pojaviće se stranica "Podešavanja hibridne bezbednosti podataka".
                                                                                                                                                  3

                                                                                                                                                  U odeljku Obaveštenja e-poštom unesite jednu ili više e-adresa odvojenih zarezima i pritisnite Enter.

                                                                                                                                                  Dodavanje ili uklanjanje korisnika iz probne verzije

                                                                                                                                                  Nakon što aktivirate probnu verziju i dodate početni skup korisnika probne verzije, možete da dodate ili uklonite članove probne verzije u bilo kom trenutku kada je probna verzija aktivna.

                                                                                                                                                  Ako uklonite korisnika iz probne verzije, klijent korisnika će zatražiti ključeve i kreiranje ključa iz oblaka KMS-a umesto kmS-a. Ako je klijentu potreban ključ koji se čuva u vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

                                                                                                                                                  Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directory (umesto ove procedure) za upravljanje probnom grupom, HdsTrialGroup; možete da prikažete članove grupe na portalu Control Hub, ali ih ne možete dodati ili ukloniti.

                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku Probni režim oblasti statusa usluge kliknite na "Dodaj korisnike" ili kliknite na "Prikaži i uredi" da biste uklonili korisnike iz probne verzije.

                                                                                                                                                  4

                                                                                                                                                  Unesite e-adresa jednog ili više korisnika koje želite da dodate ili kliknite na X na korisnički ID da uklonite korisnika iz probne verzije. Zatim kliknite na dugme Sačuvaj.

                                                                                                                                                  Premesti sa probne verzije na proizvodnju

                                                                                                                                                  Kada se zadovoljite time da vaša primena funkcioniše dobro za probne korisnike, možete da pređite na proizvodnju. Kada preрete na proizvodnju, svi korisnici u organizaciji жe koristiti u objektu domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosnog područja. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavljanje nakon katastrofe. Ponovno aktiviranje usluge zahteva da podesiti novu probnu verziju.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Status usluge" kliknite na "Premesti u proizvodnju".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da premestite sve korisnike na proizvodnju.

                                                                                                                                                  Završite probnu verziju bez premeštanja na proizvodnju

                                                                                                                                                  Ako tokom probne verzije odlučite da ne idete dalje sa primenom hibridne bezbednosti podataka, možete da deaktivirate hibridnu bezbednost podataka, koja završava probnu verziju i premešta probne korisnike nazad u usluge bezbednosti podataka u oblaku. Korisnici probne verzije će izgubiti pristup podacima koji su šifrovani tokom probne verzije.
                                                                                                                                                  1

                                                                                                                                                  Prijavite se u Control Hub, a zatim izaberite Usluge.

                                                                                                                                                  2

                                                                                                                                                  U okviru hibridne bezbednosti podataka kliknite na "Podešavanja".

                                                                                                                                                  3

                                                                                                                                                  U odeljku "Deaktiviraj" kliknite na " Deaktiviraj".

                                                                                                                                                  4

                                                                                                                                                  Potvrdite da želite da deaktivirate uslugu i završite probnu verziju.

                                                                                                                                                  Upravljajte HDS primenom

                                                                                                                                                  Upravljaj HDS primenom

                                                                                                                                                  Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

                                                                                                                                                  Podesi raspored nadogradnje klastera

                                                                                                                                                  Nadogradnje softvera za hibridnu bezbednost podataka obavljaju se automatski na nivou klastera, što obezbeđuje da svi čvorovi uvek rade isto verzija softvera. Nadogradnje se obavljaju u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete da podesite određeni raspored nadogradnje ili da koristite podrazumevani raspored od 3:00 AM dnevne Sjedinjene Američke Države: Amerika/Los Anрeles. Ako je potrebno, možete i da odaberete da odložite predstojeći nadogradnju.

                                                                                                                                                  Da biste podesili raspored nadogradnje:

                                                                                                                                                  1

                                                                                                                                                  Prijavite se na Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stranici "Pregled", u okviru hibridnih usluga izaberite hibridnu bezbednost podataka.

                                                                                                                                                  3

                                                                                                                                                  Na stranici Resursi za hibridnu bezbednost podataka izaberite klaster.

                                                                                                                                                  4

                                                                                                                                                  Na tabli "Pregled" sa desne strane, u okviru "Podešavanja klastera" izaberite ime klastera.

                                                                                                                                                  5

                                                                                                                                                  Na stranici "Podešavanja", u okviru "Nadogradnja", izaberite vremenska zona izaberite vreme i vreme nadogradnje za raspored nadogradnje.

                                                                                                                                                  Napomena: U okviru vremenska zona, prikazuje se sledeća dostupna datum i vreme nadogradnje. Nadogradnju možete da odložite za sledeći dan, ako je potrebno, klikom na "Odloži ".

                                                                                                                                                  Promena konfiguracije čvora

                                                                                                                                                  Povremeno ćete možda morati da promenite konfiguraciju svog čvora za hibridnu bezbednost podataka iz razloga kao što je:
                                                                                                                                                  • Promena sertifikata x.509 zbog isteka ili iz drugih razloga.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo promenu CN naziv domena certifikata. Domen mora da se podudara sa originalnim domenom koji se koristi za registraciju klastera.

                                                                                                                                                  • Ažuriranje podešavanja baze podataka za promenu u repliku PostgreSQL ili Microsoft SQL Server baze podataka.


                                                                                                                                                     

                                                                                                                                                    Ne podržavamo migraciju podataka iz PostgreSQL na drugi Microsoft SQL Server ili na suprotni način. Da biste zamenili okruženje baze podataka, pokrenite novo raspoređivanje hibridne bezbednosti podataka.

                                                                                                                                                  • Kreiranje nove konfiguracije za pripremanje novog centar za podatke.

                                                                                                                                                  Takođe, iz bezbednosnih razloga, hibridna bezbednost podataka koristi lozinke nalog za usluge koje imaju devetomesečni vek trajanja. Nakon što alatka za podešavanje HDS-a generiše ove lozinke, primenite ih na svaki od HDS čvorova u ISO datoteci konfiguracije. Kada lozinke vaše organizacije uskoro isteku, dobićete obaveštenje Webex iz tima da resetujete lozinku za vaš mašinski nalog. (E-poruka uključuje tekst, "Koristite API mašinskog naloga da ažurirate lozinku.") Ako vaše lozinke još nisu istekle, alatka vam daje dve opcije:

                                                                                                                                                  • Softverno resetovanje – stare i nove lozinke rade do 10 dana. Koristite ovaj period da biste postepeno zamenili ISO datoteku na čvorovima.

                                                                                                                                                  • Teško resetovanje – stare lozinke odmah prestaje da rade.

                                                                                                                                                  Ako vaše lozinke ističu bez resetovanja, to utiče na HDS uslugu, zahtevajući neposredno čvrsto resetovanje i zamenu ISO datoteke na svim čvorovima.

                                                                                                                                                  Koristite ovu proceduru da biste generisali novu ISO datoteku za konfiguraciju i primenili je na svoj klaster.

                                                                                                                                                  Pre nego što počnete

                                                                                                                                                  • Alatka za podešavanje HDS-a radi kao docker kontejner na lokalnom računaru. Da biste mu pristupili, pokrenite "Docker" na tom računaru. Proces podešavanja zahteva akreditive za Control Hub nalog sa punim administratorskih prava za vašu organizaciju.

                                                                                                                                                    Ako alatka za podešavanje HDS radi iza proxy servera u vašem okruženju, obezbedite postavke proxy servera (server, port, akreditivi) kroz Promenljive Docker okruženja kada uvodite docker kontejner u 1,e. Ova tabela daje neke moguće promenljive okruženja:

                                                                                                                                                    Opis

                                                                                                                                                    Promenljiva

                                                                                                                                                    HTTP Proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez potvrde identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy sa potvrdom identiteta

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Potrebna vam je kopija trenutne ISO datoteke za konfiguraciju da biste generisli novu konfiguraciju. Ova ISO sadrži glavni ključ za šifrovanje PostgreSQL ili Microsoft SQL servera. Potreban vam je ISO kada menjate konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene politike autorizacije.

                                                                                                                                                  1

                                                                                                                                                  Ako koristite Docker na lokalnoj mašini, pokrenite alatku za podešavanje HDS-a.

                                                                                                                                                  1. Na komandnoj liniji računara unesite odgovarajuću komandu za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ovim korakom se čiste prethodne slike alatke za podešavanje HDS-a. Ako nema prethodnih slika, daje grešku koju možete da zanemarite.

                                                                                                                                                  2. Da biste se prijavili u registar slika dokolice, unesite sledeće:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Na upit za lozinku unesite ovaj hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Preuzmite najnoviju stabilnu sliku za svoje okruženje:

                                                                                                                                                    U redovnim okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    U FedRAMP okruženjima:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Obavezno povucite najnoviju alatku za podešavanje za ovu proceduru. Verzije alatke kreirane pre 22. februara 2018. nemaju ekrane za resetovanje lozinke.

                                                                                                                                                  5. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

                                                                                                                                                    • U redovnim okruženjima bez proxy servera:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • U redovnim okruženjima sa HTTP proxy serverom:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable