Vodič za raspoređivanje za Vebek hibridnu sigurnost podataka

U ovom članku

Povratne informacije?

Predgovor

Nove i izmenjene informacije

Datum	Izvršene izmene
05 decembra, 2025	Ažurirano Kreirajte ISO konfiguraciju za HDS Hosts sa ispravnim tekstom korisničkog interfejsa na stranici Sistemski dnevnik i dodao instrukciju za otpremanje sislog root sertifikata prilikom konfigurisanja TLS enkripcije.
08 maja, 2025	Ažurirani zahtevi za virtuelni host, protok zadataka za raspoređivanje hibridnih podataka i instaliranje HDS Host OVA da biste dodali podršku za ESKSi KSNUMKS.
NTPARK 2025 SVA PRAVA ZADRŽANA	Dodao Run HDS Setup alat koristeći Podman Desktop sekciju. Dodata je napomena u Docker Desktop zahtevima koji korisnicima pružaju alternativnu opciju otvorenog koda. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts i promenite konfiguraciju čvora sa uputstvima za korišćenje Podman Desktop za kupce bez Docker Desktop licence.
januar 30, 2025	Dodata je verzija SKL servera 2022 na listu podržanih SKL servera u zahtevima servera baze podataka.
januar 07, 2025	Ažurirani zahtevi za virtuelni host, protok zadataka za raspoređivanje hibridnih podataka i instaliranje HDS Host OVA da biste pokazali novi zahtev ESKSi KSNUMKS.
Oktobar 20, 2023	Ažurirane informacije u zahtevima servera baze podataka. Dodato podešavanje Standbi Data Center za oporavak od katastrofe. Ažurirane informacije u Standbi Data Center za oporavak od katastrofe i oporavak od katastrofe koristeći Standbi Data Center.
07 avgusta, 2023	Dodata napomena u Dovnload Installation Files. Dodata napomena u Kreirajte konfiguraciju ISO za HDS Hosts i promenite konfiguraciju čvora.
23 maja, 2023	Izbrisane informacije iz zahteva servera baze podataka koji zahtevaju funkciju da se omogući kontaktiranjem tima naloga. Ažurirane informacije u zahtevima za eksterno povezivanje i dodane Kanada u tabelu domaćina CI. Dodata je napomena u Očekivanja za raspoređivanje hibridne bezbednosti podataka u vezi sa nedostupnošću mehanizama za pomeranje ključeva nazad u oblak.
06 decembra, 2022	Slike alata za podešavanje HDS-a su sada hostovane u spremištu `ciscocitg` dockerhub-a. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts i promenite teme konfiguracije čvora da se odnose na promene u komandama.
Oktobar 22, 2022	HDS čvorovi sada mogu da koriste Vindovs autentifikaciju protiv Microsoft SKL Servera. Ažurirana je tema Zahtevi servera baze podataka sa dodatnim zahtevima za ovaj režim autentifikacije. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa postupkom za konfigurisanje Vindovs autentifikacije na čvorovima. Ažurirana tema Zahtevi servera baze podataka sa novim minimalnim potrebnim verzijama (PostgreSKL KSNUMKS).
13 oktobra, 2021	Docker Desktop treba da pokrene program za podešavanje pre nego što instalirate HDS čvorove. Pogledajte Docker Desktop Zahtevi.
24 juna, 2021	Napomenuo je da možete ponovo koristiti datoteku privatnog ključa i CSR da biste zatražili još jedan sertifikat. Pogledajte Koristite OpenSSL za generisanje PKCSKSNUMKS datoteke za detalje.
NTPARK 2021 SVA PRAVA ZADRŽANA	Promenjen zahtev VM za lokalni prostor na čvrstom disku na 30 GB. Za detalje pogledajte Zahtevi za virtuelni domaćin.
Februar 22, 2021	HDS Setup Tool sada može da radi iza punomoćnika. Pogledajte Kreiranje konfiguracije ISO za HDS Hosts za detalje.
Februar 21, 2021	HDS sada može da radi bez montirane ISO datoteke. Pogledajte (Opciono) Demontirajte ISO nakon HDS konfiguracije za detalje.
januar 11, 2021	Dodane su informacije o alatu za podešavanje HDS-a i punomoćnicima za kreiranje ISO konfiguracije za HDS Hosts.
13 oktobra, 2020	Ažurirano preuzimanje instalacionih datoteka.
8 oktobra, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS domaćina i promenite konfiguraciju čvora sa komandama za FedRAMP okruženja.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirano Kreirajte konfiguraciju ISO za HDS domaćine i promenite konfiguraciju čvora sa promenama u procesu prijavljivanja.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirano Testirajte hibridnu bezbednost podataka za promene u porukama dnevnika. Ažurirani zahtevi za virtuelni domaćin za uklanjanje maksimalnog broja domaćina.
16 juna, 2020	Ažurirano Ukloni čvor za promene u korisničkom interfejsu Control Hub-a.
4 juna, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts za promene u naprednim podešavanjima koje možete podestiti.
29 maja, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts da biste pokazali da takođe možete koristiti TLS sa SKL Server bazama podataka, promenama korisničkog interfejsa i drugim pojašnjenjima.
5 maja, 2020	Ažurirani su zahtevi za virtuelnim domaćinom kako bi se prikazali novi zahtevi ESKSi KSNUMKS-a.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirani zahtevi za eksterno povezivanje sa novim američkim CI domaćinima.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirani zahtevi za eksterno povezivanje sa informacijama o regionalnim CI domaćinima.
Februar 22, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa informacijama o novom opcionom ekranu Napredna podešavanja u HDS Setup Tool.
4 februara, 2020	Ažurirani zahtevi proki servera.
decembar 18, 2019	Razjasnio je zahtev za blokirani režim eksterne rezolucije DNS-a da radi u zahtevima proki servera.
Oktobar 19, 2019	Dodane informacije o blokiranom režimu eksterne rezolucije DNS-a u sledećim odeljcima: Proki podrška Konfigurišite HDS čvor za integraciju proksi Isključite blokirani režim rezolucije eksternog DNS-a
Oktobar 18, 2019	Sada možete konfigurisati mrežna podešavanja za čvor dok primenjujete OVA, a ne kasnije. U skladu sa tim ažurirani su sledeći odeljci: Protok zadataka hibridne bezbednosti podataka Instalirajte HDS Host OVA Podesite VM za hibridnu bezbednost podataka Opcija za konfigurisanje mrežnih postavki tokom primene OVA testirana je sa ESKSi 6.5. Ova opcija možda neće biti dostupna u ranijim verzijama.
septembar 18, 2019	Dodat SKL Server Standard zahtevima servera baze podataka.
NTPARK 2019 SVA PRAVA ZADRŽANA	Dodato Konfigurišite Lignje Proksi za hibridni podaci Securiti dodatak sa uputstvima o konfigurisanju Lignje punomoćnika da ignorišu vebsocket saobraćaj za pravilan rad.
NTPARK 2019 SVA PRAVA ZADRŽANA	Dodani i ažurirani odeljci za pokrivanje podrške proksi za komunikacije čvorova hibridnih podataka na Vebek oblaku. Proki podrška Zahtevi za proki server Konfigurišite HDS čvor za integraciju proksi Da biste pristupili samo sadržaju podrške proksi za postojeću implementaciju, pogledajte Proki podrška za hibridnu sigurnost podataka i Vebek Video Mesh članak pomoći.
13 juna, 2019	Ažurirano suđenje za protok zadataka proizvodnje sa podsetnikom da sinhronizujete `HdsTrialGroup` objekat grupe pre početka suđenja ako vaša organizacija koristi sinhronizaciju direktorijuma.
NTPARK 2019 SVA PRAVA ZADRŽANA	Premešteni zahtevi i preduslovi u posebno poglavlje, Pripremite svoje okruženje. Dodat je pregled protoka zadataka hibridne bezbednosti podataka u poglavlju Postavljanje hibridnog klastera za bezbednost podataka. Primetio sam da dok ne započnete suđenje (koristeći uputstva u narednom poglavlju) vaši čvorovi generišu alarm koji ukazuje na to da vaša usluga još nije aktivirana. Dodano suđenje u tok zadataka proizvodnje u poglavlju Pokreni suđenje i Pređi na proizvodnju.
februar 28, 2019	Ispravljena je količina lokalnog prostora na čvrstom disku po serveru koji treba da izdvojite prilikom pripreme virtuelnih domaćina koji postaju čvorovi hibridne bezbednosti podataka, od KSNUMKS-GB do KSNUMKS-GB, kako bi odražavali veličinu diska koji stvara OVA.
februar 22, 2019	Hibridni čvorovi za bezbednost podataka sada podržavaju šifrovane veze sa PostgreSKL serverima baze podataka i šifrovane veze za evidentiranje sa TLS-sposobnim sislog serverom. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa uputstvima. Uklonjeni odredišni URL-ovi iz tabele "Zahtevi za povezivanje sa Internetom za VM-ove hibridnih čvorova za bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatni URL-ovi za hibridne usluge Vebek Teams" Mrežni zahtevi za Vebek Teams usluge.
januar 22, 2019	Hibrid Data Securiti sada podržava Microsoft SKL Server kao bazu podataka. SKL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržavaju JDBC drajveri koji se koriste u hibridnoj sigurnosti podataka. Dodan sadržaj koji se odnosi na primenu sa SKL Serverom. Podrška za Microsoft SKL Server namenjena je samo novim primenama hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka sa PostgreSKL-a na Microsoft SKL Server u postojećem raspoređivanju.
Oktobar 18, 2018	Dodan preliminarni korak za čišćenje svih postojećih docker hds instanci u Kreirajte konfiguraciju ISO za HDS hostove i promenite konfiguraciju čvora. Ažuriran je ključni korak nivoa pristupa u Kreirajte konfiguraciju ISO za HDS Hosts da odgovara interfejsu.
19 oktobra, 2018	Podelite informacije o povezivanju zaštitnog zida u zahteve čvorova i zahteve za ISO konfiguraciju u Popunite preduslove za hibridnu bezbednost podataka.
31. jul 2018.	Dodat port 22 (SSH pristup) i informacije o NAT i firevall veze da završi Preduslove za hibridnu bezbednost podataka.
januar 21, 2018	Promenjena terminologija koja odražava rebranding Cisco Spark-a: Cisco Spark Hibrid Data Securiti je sada hibridna sigurnost podataka. Aplikacija Cisco Spark je sada aplikacija Vebek App. Cisco Collaboraton Cloud je sada Vebek oblak.
11 aprila, 2018	Dodao pripravnosti Data Center za oporavak od katastrofe. Ažurirano Popunite preduslove za hibridnu sigurnost podataka kako biste odredili da rezervno okruženje treba da bude u drugom centru za podatke. Ažurirano Disaster Recoveri koristeći Standbi Data Center.
22. februar, 2018	Dodate informacije o lozinkom servisnog naloga 9 meseci životnog veka i korišćenjem HDS Setup alat za resetovanje lozinki servisnog naloga, u Kreiranje konfiguracije ISO za HDS Hosts i promenite konfiguraciju čvora.
15. februar, 2018	U tabeli Ks.509 Zahtevi za sertifikat, navedeno je da sertifikat ne može biti džoker sertifikat, i da KMS koristi CN domen, a ne bilo koji domen koji je definisan u k.509v3 SAN poljima.
januar 18, 2018	Dodao dodatak, Saobraćaj između HDS čvorova i oblaka. Uklonjen rešen problem iz poznatih problema za hibridnu bezbednost podataka. Promenjen index.docker.io u .docker.io i dodat .cloudfront.net na listu zahteva TCP povezivanja za HDS čvorove u Popunite preduslove za hibridnu bezbednost podataka. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts da ukaže da ako domaćin baze podataka i Sislogd server nisu DNS-resolvable iz HDS čvorova, morate ih konfigurisati koristeći IP adrese.
2 novembra, 2017	Razjašnjena sinhronizacija direktorijuma na HdsTrialGroup. Fiksni uputstva za otpremanje ISO konfiguracione datoteke za montažu na VM čvorova.
18. avgust, 2017	Prvi put objavljeno

Počnite sa hibridnom sigurnošću podataka

Pregled hibridne bezbednosti podataka

Od prvog dana, sigurnost podataka je primarni fokus u dizajniranju Vebek aplikacije. Kamen temeljac ove sigurnosti je end-to-end enkripcija sadržaja, omogućena od strane Vebek App klijenata u interakciji sa Kei Management Service (KMS). KMS je odgovoran za kreiranje i upravljanje kriptografskim ključevima koje klijenti koriste za dinamičko šifrovanje i dešifrovanje poruka i datoteka.

Po defaultu, svi korisnici Vebek App-a dobijaju end-to-end enkripciju sa dinamičkim ključevima koji se čuvaju u oblaku KMS, u Cisco-ovom bezbednosnom domenu. Hibridna bezbednost podataka pomera KMS i druge funkcije vezane za bezbednost u vaš centar za podatke preduzeća, tako da niko osim vas ne drži ključeve vašeg šifrovanog sadržaja.

Arhitektura bezbednosnog područja

Arhitektura oblaka Vebek razdvaja različite vrste usluga u odvojene domene ili domene poverenja, kao što je prikazano u nastavku.

***Oblasti razdvajanja (bez hibridne sigurnosti podataka)***

Da bismo dalje razumeli hibridnu sigurnost podataka, prvo pogledajmo ovaj čisti slučaj oblaka, gde Cisco pruža sve funkcije u svojim domenima oblaka. Usluga identiteta, jedino mesto gde korisnici mogu biti u direktnoj korelaciji sa svojim ličnim podacima, kao što je adresa e-pošte, logično je i fizički odvojena od bezbednosnog domena u data centru B. Oba su zauzvrat odvojena od oblasti u kojoj se šifrovani sadržaj na kraju čuva, u data centru C.

U ovom dijagramu, klijent je Vebek aplikacija koja radi na laptopu korisnika i autentificirana je sa uslugom identiteta. Kada korisnik sastavi poruku za slanje u prostor, odvijaju se sledeći koraci:

Klijent uspostavlja sigurnu vezu sa uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrovane indekse pretrage kako bi pomogla u budućim pretragama sadržaja.
Šifrovana poruka se šalje službi za usklađenost radi provjere usklađenosti.
Šifrovana poruka se čuva u domenu skladištenja.

Kada primenite hibridnu bezbednost podataka, pomerate bezbednosne funkcije (KMS, indeksiranje i usklađenost) u vaš lokalni centar za podatke. Ostale usluge u oblaku koje čine Vebek (uključujući identitet i skladištenje sadržaja) ostaju u Cisco-ovim domenima.

Saradnja sa drugim organizacijama

Korisnici u vašoj organizaciji mogu redovno koristiti Vebek aplikaciju za saradnju sa spoljnim učesnicima u drugim organizacijama. Kada jedan od vaših korisnika zatraži ključ za prostor koji je u vlasništvu vaše organizacije (jer ga je kreirao jedan od vaših korisnika), vaš KMS šalje ključ klijentu preko ECDH obezbeđenog kanala. Međutim, kada druga organizacija poseduje ključ za prostor, vaš KMS usmerava zahtev na Vebek oblak preko posebnog ECDH kanala da biste dobili ključ iz odgovarajućeg KMS-a, a zatim vraća ključ vašem korisniku na originalnom kanalu.

KMS servis koji radi na Org A potvrđuje veze sa KMS-ovima u drugim organizacijama koje koriste k.509 PKI sertifikate. Pogledajte Zahtevi za hibridnu bezbednost podataka (u ovom članku) za detalje o generisanju k.KSNUMKS sertifikata koji će se koristiti sa primenom hibridne bezbednosti podataka.

Očekivanja za primenu hibridne bezbednosti podataka

Hibridna bezbednost podataka zahteva značajnu posvećenost kupaca i svest o rizicima koji dolaze sa posedovanjem ključeva za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate obezbediti:

Siguran centar za podatke u zemlji koja je podržana lokacija za planove Cisco Vebek Teams-a.
Oprema, softver i pristup mreži opisani u Zahtevi za hibridnu bezbednost podataka.

Potpuni gubitak konfiguracije ISO koji ste napravili za hibridnu sigurnost podataka ili baze podataka koju pružate rezultiraće gubitkom ključeva. Gubitak ključa sprečava korisnike da dešifruju sadržaj prostora i druge šifrovane podatke u aplikaciji Vebek. Ako se to dogodi, možete izgraditi novu raspoređivanje, ali će biti vidljiv samo novi sadržaj. Da biste izbegli gubitak pristupa podacima, morate:

Upravljajte rezervne kopije i oporavak baze podataka i konfiguracije ISO.
Budite spremni da izvršite brzi oporavak od katastrofe ako dođe do katastrofe, kao što je kvar diska baze podataka ili katastrofa data centra.

Ne postoji mehanizam za pomeranje ključeva nazad u oblak nakon raspoređivanja HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje hibridnom sigurnosnom implementacijom podataka:

Podesite hibridnu bezbednost podataka – ovo uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, testiranje vaše primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazak na proizvodnju. Ovo pretvara celu organizaciju da koristi vaš hibridni klaster za bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, suđenja i proizvodnje detaljno su obrađene u naredna tri poglavlja.
Održavajte svoju hibridnu bezbednost podataka - Vebek oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može pružiti podršku za ovu implementaciju i angažovati Cisco podršku po potrebi. Možete koristiti obaveštenja na ekranu i podesiti upozorenja zasnovana na e-pošti u Control Hub-u.
Razumevanje uobičajenih upozorenja, koraka za rešavanje problema i poznatih problema – Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i rešite problem.

Model hibridne bezbednosti podataka

U okviru vašeg data centra preduzeća, primenjujete hibridnu bezbednost podataka kao jedan klaster čvorova na odvojenim virtuelnim domaćinima. Čvorovi komuniciraju sa Vebek oblakom putem sigurnih vebsocketova i sigurnog HTTP-a.

Tokom procesa instalacije, pružamo vam OVA datoteku za postavljanje virtuelnog uređaja na VM-ovima koje pružate. Koristite alat za podešavanje HDS-a da biste kreirali prilagođenu ISO datoteku konfiguracije klastera koju montirate na svakom čvoru. Hibridni klaster bezbednosti podataka koristi vaš obezbeđeni Sislogd server i PostgreSKL ili Microsoft SKL Server bazu podataka. (Konfigurišete Sislogd i detalje o vezi sa bazom podataka u HDS Setup Tool-u.)

Model hibridne bezbednosti podataka

Minimalni broj čvorova koje možete imati u klasteru je dva. Preporučujemo najmanje tri po klasteru. Imajući više čvorova osigurava da se usluga ne prekida tokom nadogradnje softvera ili drugih aktivnosti održavanja na čvoru. (Vebek oblak nadograđuje samo jedan čvor u isto vreme.)

Svi čvorovi u klasteru pristupaju istom ključnom skladištu podataka i prijavljuju aktivnost na isti sislog server. Sami čvorovi su bez države, i obrađuju ključne zahteve u round-robin način, u skladu sa uputstvima oblaka.

Čvorovi postaju aktivni kada ih registrujete u Control Hub-u. Da biste uzeli pojedinačni čvor iz službe, možete ga odjaviti, a kasnije ga ponovo registrovati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Hibridni probni režim bezbednosti podataka

Nakon postavljanja hibridne bezbednosti podataka, prvo probajte sa skupom pilot korisnika. Tokom probnog perioda, ovi korisnici koriste vaš lokalni domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosti. Vaši drugi korisnici nastavljaju da koriste oblast bezbednosti u oblaku.

Ako odlučite da ne nastavite sa primenom tokom suđenja i deaktivirate uslugu, pilot korisnici i svi korisnici sa kojima su komunicirali stvaranjem novih prostora tokom probnog perioda izgubiće pristup porukama i sadržaju. Videće "Ova poruka se ne može dešifrovati" u aplikaciji Vebek.

Ako ste zadovoljni da vaša primena dobro funkcioniše za probne korisnike i spremni ste da proširite hibridnu bezbednost podataka na sve svoje korisnike, pomerite raspoređivanje u proizvodnju. Pilot korisnici i dalje imaju pristup ključevima koji su bili u upotrebi tokom suđenja. Međutim, ne možete se kretati napred-nazad između proizvodnog režima i originalnog suđenja. Ako morate da deaktivirate uslugu, kao što je obavljanje oporavka od katastrofe, kada ponovo aktivirate morate započeti novo suđenje i podesiti skup pilot korisnika za novo suđenje pre nego što se vratite u režim proizvodnje. Da li korisnici zadržavaju pristup podacima u ovom trenutku zavisi od toga da li ste uspešno održavali rezervne kopije ključnog skladišta podataka i ISO konfiguracione datoteke za čvorove hibridne bezbednosti podataka u vašem klasteru.

Standbi data centar za oporavak od katastrofe

Tokom primene, postavite siguran centar za podatke u stanju pripravnosti. U slučaju katastrofe data centra, možete ručno da prebacite raspoređivanje u rezervni centar za podatke.

Pre failover-a, Data Center A ima aktivne HDS čvorove i primarnu PostgreSKL ili Microsoft SKL Server bazu podataka, dok B ima kopiju ISO datoteke sa dodatnim konfiguracijama, VM-ovima koji su registrovani u organizaciji i bazu podataka u stanju pripravnosti. Nakon failover-a, Data Center B ima aktivne HDS čvorove i primarnu bazu podataka, dok A ima neregistrovane VM-ove i kopiju ISO datoteke, a baza podataka je u stanju pripravnosti. — ***Ručno prebacivanje u stanje pripravnosti za prenos podataka***

Baze podataka aktivnih i rezervnih centara podataka su sinhronizovane jedna sa drugom što će minimizirati vreme potrebno za obavljanje failover-a. ISO datoteka rezervnog data centra se ažurira dodatnim konfiguracijama koje osiguravaju da su čvorovi registrovani u organizaciji, ali neće upravljati saobraćajem. Stoga, čvorovi rezervnog data centra uvek ostaju ažurni sa najnovijom verzijom HDS softvera.

Aktivni čvorovi hibridne bezbednosti podataka moraju uvek biti u istom centru za podatke kao i aktivni server baze podataka.

Podešavanje standbi data centra za oporavak od katastrofe

Pratite korake u nastavku da biste konfigurisali ISO datoteku rezervnog data centra:

Pre nego što počnete

Standbi data centar treba da odražava proizvodno okruženje VM-ova i rezervnu PostgreSKL ili Microsoft SKL Server bazu podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a. (Vidi Standbi Data Center za oporavak od katastrofe za pregled ovog modela za preklapanje.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

1	Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts. ISO datoteka mora biti kopija originalne ISO datoteke primarnog data centra na koji će se izvršiti sledeća ažuriranja konfiguracije.
2	Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja
3	Na stranici Napredna podešavanja dodajte konfiguraciju ispod da biste čvor postavili u pasivni režim. U ovom režimu čvor će biti registrovan u organizaciji i povezan sa oblakom, ali neće rukovati nikakav saobraćaj. `passiveMode: 'true'`
4	Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.
5	Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.
6	U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..
7	Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl. Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.
8	Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.
9	Ponovite postupak za svaki čvor u rezervnom data centru. Proverite sislogove da biste proverili da li su čvorovi u pasivnom režimu. Trebalo bi da budete u mogućnosti da vidite poruku "KMS konfigurisan u pasivnom režimu" u sislogs.

Šta dalje

Nakon konfigurisanja passiveMode u ISO datoteku i čuvanje, možete kreirati još jednu kopiju ISO datoteke bez konfiguracije passiveMode i sačuvati je na sigurnoj lokaciji. Ova kopija ISO datoteke bez passiveMode konfigurisanog može pomoći u brzom procesu prebacivanja tokom oporavka od katastrofe. Pogledajte Oporavak od katastrofe koristeći Standbi Data Center za detaljnu proceduru preklapanja.

Proki podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne inspekcije i ne-inspekcijske punomoćnike. Ove punomoćnike možete povezati sa vašim raspoređivanjem, tako da možete osigurati i pratiti saobraćaj iz preduzeća u oblak. Možete koristiti interfejs administratora platforme na čvorovima za upravljanje sertifikatima i da proverite ukupni status povezivanja nakon što podesite proki na čvorovima.

Hibridni čvorovi za bezbednost podataka podržavaju sledeće opcije proki:

Nema prokoxy—Podrazumevano ako ne koristite podešavanje HDS čvora Trust Store & Proxy konfiguraciju za integraciju proxyja. Nije potrebno ažuriranje sertifikata.
Transparentan proki koji ne pregledava—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera i ne bi trebalo da zahtevaju nikakve promene za rad sa proksi koji ne pregledava. Nije potrebno ažuriranje sertifikata.
Transparentno tuneliranje ili inspekcija proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban root sertifikat tako da veruju proki. Inspekcija punomoćnika se obično koristi od strane IT da sprovede politike o kojima sajtovi mogu da se posećuju i koje vrste sadržaja nisu dozvoljene. Ova vrsta proksi dešifruje sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proki—Sa eksplicitnim proxyjem, kažete HDS čvorovima koji proxy server i šemu autentifikacije da koriste. Da biste konfigurisali eksplicitni proki, morate uneti sledeće informacije na svakom čvoru:
1. Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine.
2. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja.
3. Proki protokol—U zavisnosti od toga šta vaš proki server podržava, izaberite između sledećih protokola:
  - HTTP – Pregledava i kontroliše sve zahteve koje klijent šalje.
  - HTTPS—Obezbeđuje kanal za server. Klijent prima i potvrđuje sertifikat servera.
4. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije:
  - Nijedan—Dodatna autentifikacija nije potrebna.
    
    Dostupno ako izaberete HTTP ili HTTPS kao proki protokol.
  - Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje.
    
    Dostupno ako izaberete HTTP ili HTTPS kao proki protokol.
    
    Zahteva od vas da unesete korisničko ime i lozinku na svakom čvoru.
  - Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.
    
    Dostupno samo ako izaberete HTTPS kao proki protokol.
    
    Zahteva od vas da unesete korisničko ime i lozinku na svakom čvoru.

Primer hibridnih čvorova za bezbednost podataka i proksi

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proki. Za transparentnu inspekciju i HTTPS eksplicitnu inspekciju proki opcija, isti root sertifikat mora biti instaliran na proki i na hibridnim čvorovima za bezbednost podataka.

Dijagram koji prikazuje primer veze između hibridne bezbednosti podataka, mreže i proki.

Blokiran Eksterni režim rezolucije DNS (eksplicitne konfiguracije proki)

Kada registrujete čvor ili proverite konfiguraciju proki čvora, proces testira DNS pretraživanje i povezivanje sa Cisco Vebek oblakom. U raspoređivanju sa eksplicitnim konfiguracijama proksi koje ne dozvoljavaju eksternu rezoluciju DNS-a za interne klijente, ako čvor ne može da upita DNS servere, automatski prelazi u režim blokirane eksterne rezolucije DNS-a. U ovom režimu, registracija čvorova i drugi testovi povezivanja proki mogu nastaviti.

Pripremite svoje okruženje

Zahtevi za hibridnu bezbednost podataka

Zahtevi za licencu Cisco Vebek

Da biste primenili hibridnu bezbednost podataka:

Morate imati Pro Pack za Cisco Vebek Control Hub. (Vidi https://www.cisco.com/go/pro-pack.)

Docker Desktop Zahtevi

Pre nego što instalirate svoje HDS čvorove, potreban vam je Docker Desktop da biste pokrenuli program za podešavanje. Docker je nedavno ažurirao svoj model licenciranja. Vaša organizacija može zahtevati plaćenu pretplatu za Docker Desktop. Za detalje pogledajte Docker blog post, " Docker ažurira i proširuje naše pretplate na proizvode".

Korisnici bez Docker Desktop licence mogu koristiti alat za upravljanje kontejnerima otvorenog koda kao što je Podman Desktop za pokretanje, upravljanje i kreiranje kontejnera. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

Ks.KSNUMKS Zahtevi za sertifikat

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. Ks.KSNUMKS Zahtevi za sertifikat za hibridnu bezbednost podataka
Uslov	Detalji
Potpisan od strane pouzdanog autoriteta za sertifikate (CA)	Po defaultu, verujemo ЦA na Mozilla listi (sa izuzetkom VoSign i StartЦom) na .https://wiki.mozilla.org/CA:IncludedCAs
Nosi ime domena sa zajedničkim imenom (CN) koje identifikuje vašu hibridnu bezbednost podataka Nije džoker sertifikat	CN ne mora biti dostupan ili živi domaćin. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, `hds.company.com`. CN ne sme da sadrži * (džoker). CN se koristi za verifikaciju hibridnih čvorova za bezbednost podataka klijentima Vebek App-a. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje koristeći CN domen, a ne bilo koji domen koji je definisan u k.KSNUMKSvKSNUMKS SAN poljima. Kada registrujete čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena. Izaberite domen koji se može primeniti i na probne i na proizvodne primene.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za validaciju veza sa KMS-ovima drugih organizacija.
Formatiran kao PKCS #12 fajl zaštićen lozinkom Koristite prijateljsko ime `kms-private-key` da označite sertifikat, privatni ključ i sve srednje sertifikate za otpremanje.	Možete koristiti konvertor kao što je OpenSSL da biste promenili format sertifikata. Moraćete da unesete lozinku kada pokrenete HDS Setup Tool.

KMS softver ne primenjuje upotrebu ključa ili proširena ograničenja upotrebe ključeva. Neki autoriteti za sertifikate zahtevaju da se proširena ograničenja upotrebe ključa primene na svaki sertifikat, kao što je autentifikacija servera. U redu je koristiti autentifikaciju servera ili druga podešavanja.

Zahtevi za virtuelni domaćin

Virtuelni domaćini koje ćete postaviti kao čvorove hibridne sigurnosti podataka u vašem klasteru imaju sledeće zahteve:

Najmanje dva odvojena domaćina (KSNUMKS preporučeno) nalaze se u istom sigurnom centru za podatke
VMvare ESKSi 7.0 ili 8.0 instaliran i pokrenut.

Morate nadograditi ako imate raniju verziju ESKSi.
Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, KSNUMKS-GB lokalni prostor na čvrstom disku po serveru

Zahtevi za server baze podataka

Kreirajte novu bazu podataka za skladištenje ključeva. Ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaku su sledeći:

Tabela 2. Zahtevi servera baze podataka prema vrsti baze podataka
Preuzmite	Microsoft SKL Server
PostgreSKL 14, 15 ili 16, instaliran i pokrenut.	Instaliran SKL Server 2016, 2017, 2019 ili 2022 (Enterprise ili Standard). SKL Server KSNUMKS zahteva servisni paket KSNUMKS i kumulativno ažuriranje KSNUMKS ili kasnije.
Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)	Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)

HDS softver trenutno instalira sledeće verzije upravljačkih programa za komunikaciju sa serverom baze podataka:

Preuzmite	Microsoft SKL Server
Postgres JDBC vozač 42.2.5	SKL Server JDBC drajver 4.6 Ova verzija upravljačkog programa podržava SKL Server Always On ( Always On Failover Cluster Instances i Always On grupe dostupnosti).

Preuzmite

Microsoft SKL Server

Postgres JDBC vozač 42.2.5

SKL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SKL Server Always On ( Always On Failover Cluster Instances i Always On grupe dostupnosti).

Dodatni zahtevi za Vindovs autentifikaciju protiv Microsoft SKL Servera

Ako želite da HDS čvorovi koriste Vindovs autentifikaciju da biste dobili pristup vašoj bazi podataka za ključeve na Microsoft SKL Serveru, onda vam je potrebna sledeća konfiguracija u vašem okruženju:

HDS čvorovi, Active Directori infrastruktura i MS SKL Server moraju biti sinhronizovani sa NTP-om.
Vindovs nalog koji pružate HDS čvorovima mora imati pristup za čitanje / pisanje baze podataka.
DNS serveri koje pružate HDS čvorovima moraju biti u stanju da reše vaš ključni distributivni centar (KDC).
Možete registrovati instancu HDS baze podataka na vašem Microsoft SKL Serveru kao glavno ime usluge (SPN) na vašem Active Directori-u. Pogledajte Registrujte glavno ime usluge za Kerberos veze.

Alat za podešavanje HDS-a, HDS lanser i lokalni KMS svi moraju da koriste Vindovs autentifikaciju za pristup bazi podataka keistore-a. Oni koriste detalje iz vaše ISO konfiguracije da konstruišu SPN kada traže pristup sa Kerberos autentifikacijom.

Zahtevi za eksterno povezivanje

Konfigurišite zaštitni zid da omogući sledeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Port	Pravac iz aplikacije	Odredište
Hibridni čvorovi za bezbednost podataka	TCP	443	Odlazni HTTPS i VSS	Vebek serveri: .wbx2.com .ciscospark.com Svi domaćini zajedničkog identiteta Ostali URL-ovi koji su navedeni za hibridnu sigurnost podataka u tabeli dodatnih URL-ova za Vebek hibridne usluge Mrežni zahtevi za Vebek usluge
Alat za podešavanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi domaćini zajedničkog identiteta hub.docker.com

Hibridni čvorovi za bezbednost podataka rade sa prevođenjem pristupa mreži (NAT) ili iza zaštitnog zida, sve dok NAT ili zaštitni zid dozvoljavaju potrebne odlazne veze sa odredištima domena u prethodnoj tabeli. Za veze koje ulaze u čvorove hibridne bezbednosti podataka, nijedan port ne bi trebalo da bude vidljiv sa interneta. U okviru vašeg data centra, klijentima je potreban pristup čvorovima za hibridnu sigurnost podataka na TCP portovima KSNUMKS i KSNUMKS, u administrativne svrhe.

URL-ovi za domaćine zajedničkog identiteta (CI) su specifični za region. Ovo su trenutni CI domaćini:

Region	Uobičajeni URL-ovi hosta identiteta
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Zahtevi za proki server

Zvanično podržavamo sledeća proki rešenja koja se mogu integrisati sa vašim čvorovima za hibridnu bezbednost podataka.
- Transparent proxy—Cisco Web Security Appliance (WSA).
- Eksplicitni punomoćnik — Lignja.
  
  Lignje punomoćnici koji pregledavaju HTTPS saobraćaj može ometati uspostavljanje vebsocket (vss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurisanje Squid Proksies za hibridnu sigurnost podataka.
Podržavamo sledeće kombinacije tipova autentifikacije za eksplicitne punomoćnike:
- Nema autentifikacije sa HTTP ili HTTPS
- Osnovna autentifikacija sa HTTP ili HTTPS
- Digest autentifikacija samo sa HTTPS-om
Za transparentnu inspekciju proki ili HTTPS eksplicitni proki, morate imati kopiju root sertifikata proki. Uputstva za raspoređivanje u ovom vodiču vam govore kako da otpremite kopiju u prodavnice poverenja Hibrid Data Securiti čvorova.
Mreža koja hostuje HDS čvorove mora biti konfigurisana tako da prisili odlazni TCP saobraćaj na portu 443 za rutu preko proki.
Punomoćnici koji pregledavaju veb saobraćaj mogu ometati veze sa veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj i wbx2.comciscospark.com da će rešiti problem.

Popunite preduslove za hibridnu sigurnost podataka

Koristite ovu kontrolnu listu da biste bili sigurni da ste spremni da instalirate i konfigurišete klaster hibridne bezbednosti podataka.

1	Uverite se da je vaša Vebek organizacija omogućena za Pro Pack za Cisco Vebek Control Hub i nabavite akreditive naloga sa punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.
2	Izaberite ime domena za vašu raspoređivanje HDS-a (na primer, `hds.company.com`) i dobijte lanac sertifikata koji sadrži Ks.KSNUMKS sertifikat, privatni ključ i sve srednje sertifikate. Lanac sertifikata mora ispunjavati uslove u Ks.KSNUMKS zahtevima za sertifikat.
3	Pripremite identične virtuelne hostove koje ćete postaviti kao čvorove hibridne bezbednosti podataka u vašem klasteru. Potrebna su vam najmanje dva odvojena domaćina (preporučuje se KSNUMKS) koji se nalaze u istom sigurnom data centru, koji ispunjavaju zahteve u zahtevima virtuelnog domaćina.
4	Pripremite server baze podataka koji će delovati kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti smješten u sigurnom centru za podatke sa virtuelnim domaćinima. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka—nemojte koristiti podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.) Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka: ime domaćina ili IP adresa (domaćin) i port Ime baze podataka (dbname) za skladištenje ključeva Korisničko ime i lozinka korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva
5	Za brzi oporavak od katastrofe, podesite rezervno okruženje u drugom data centru. Rezervno okruženje odražava proizvodno okruženje VM-a i rezervni server baze podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a.
6	Podesite sislog host za prikupljanje dnevnika iz čvorova u klasteru. Okupite svoju mrežnu adresu i sislog port (podrazumevano je UDP 514).
7	Kreirajte sigurnu politiku rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i sislog host. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate napraviti rezervnu kopiju baze podataka i konfiguracijsku ISO datoteku generisanu za čvorove hibridne bezbednosti podataka. Budući da čvorovi hibridne bezbednosti podataka čuvaju ključeve koji se koriste u enkripciji i dešifrovanju sadržaja, neuspeh u održavanju operativnog raspoređivanja će rezultirati NEPOVRATNIM GUBITKOM tog sadržaja. Klijenti Vebek App-a keširaju svoje ključeve, tako da prekid možda neće biti odmah primetan, ali će vremenom postati očigledan. Iako je privremene prekide nemoguće sprečiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema rezervnih kopija) bilo baze podataka ili konfiguracije ISO datoteke će rezultirati nepovratnim podacima o klijentima. Od operatera čvorova hibridne bezbednosti podataka se očekuje da održavaju česte rezervne kopije baze podataka i konfiguracije ISO datoteke, i da budu spremni da obnove hibridni centar podataka bezbednosti podataka ako dođe do katastrofalnog kvara.
8	Uverite se da vaša konfiguracija zaštitnog zida omogućava povezivanje za vaše čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima za eksterno povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo kojoj lokalnoj mašini koja pokreće podržani operativni sistem (Microsoft Vindovs 10 Professional ili Enterprise 64-bit, ili Mac OSKS Iosemite 10.10.3 ili noviji) sa veb pretraživačem koji može da mu pristupi na http://127.0.0.1:8080. Koristite Docker instancu da biste preuzeli i pokrenuli HDS Setup Tool, koji gradi informacije o lokalnoj konfiguraciji za sve čvorove hibridne bezbednosti podataka. Vašoj organizaciji će možda biti potrebna licenca za Docker Desktop. Pogledajte Docker Desktop Zahtevi za više informacija. Da biste instalirali i pokrenuli HDS Setup Tool, lokalna mašina mora imati povezivanje navedeno u zahtevima za eksterno povezivanje.
10	Ako integrišete proki sa hibridnom sigurnošću podataka, uverite se da ispunjava zahteve proki servera.
11	Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directori pod nazivom `HdsTrialGroup`, i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Objekat `HdsTrialGroup` mora biti sinhronizovan sa oblakom pre nego što započnete probnu verziju za vašu organizaciju. Da biste sinhronizovali objekat grupe, izaberite ga u meniju Konfiguracija > Izbor objekta konektora direktorijuma. (Za detaljna uputstva pogledajte Vodič za raspoređivanje Cisco Directori Connector.) Ključeve za određeni prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite da trajno deaktivirate hibridnu bezbednost podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim aplikacije korisnika osveže svoje keširane kopije sadržaja.

Podesite hibridni klaster za bezbednost podataka

Protok zadataka hibridne bezbednosti podataka

Pre nego što počnete

1	Preuzmite instalacione datoteke Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.
2	Kreirajte konfiguraciju ISO za HDS Hosts Koristite alat za podešavanje HDS-a da biste kreirali ISO konfiguracionu datoteku za čvorove hibridne bezbednosti podataka.
3	Instalirajte HDS Host OVA Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke. Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.
4	Podesite VM za hibridnu bezbednost podataka Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite mrežne postavke za čvor ako ih niste konfigurisali u vreme primene OVA.
5	Otpremite i montirajte HDS konfiguraciju ISO Konfigurišite VM iz ISO konfiguracione datoteke koju ste kreirali pomoću HDS Setup Tool-a.
6	Konfigurišite HDS čvor za integraciju proksi Ako mrežno okruženje zahteva konfiguraciju proki, navedite vrstu proki koji ćete koristiti za čvor, i dodajte proki sertifikat u prodavnicu poverenja ako je potrebno.
7	Registrujte prvi čvor u klasteru Registrujte VM sa Cisco Vebek oblakom kao čvor za hibridnu sigurnost podataka.
8	Kreirajte i registrujte više čvorova Završite podešavanje klastera.
9	Dok ne započnete suđenje, vaši čvorovi generišu alarm koji ukazuje na to da vaša usluga još nije aktivirana.

Preuzmite instalacione datoteke

U ovom zadatku preuzimate OVA datoteku na vašu mašinu (ne na servere koje ste postavili kao čvorove hibridne bezbednosti podataka). Koristite ovaj fajl kasnije u procesu instalacije.

1	Prijavite se na https://admin.webex.com, a zatim kliknite na dugme Usluge.
2	U odeljku Hibridne usluge pronađite karticu Hibrid Data Securiti, a zatim kliknite na dugme Postavi. Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partnerskoj organizaciji. Dajte im svoj broj računa i zatražite da omogućite svoju organizaciju za hibridnu sigurnost podataka. Da biste pronašli broj naloga, kliknite na zupčanik u gornjem desnom uglu, pored imena vaše organizacije. Takođe možete preuzeti OVA u bilo kom trenutku iz odeljka Pomoć na stranici Podešavanja. Na kartici Hibrid Data Securiti kliknite na dugme Edit settings da biste otvorili stranicu. Zatim kliknite na dugme Preuzmi softver za hibridnu bezbednost podataka u odeljku Pomoć . Starije verzije softverskog paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama hibridne bezbednosti podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Proverite da li ste preuzeli najnoviju verziju OVA datoteke.
3	Izaberite Ne da biste označili da još niste postavili čvor, a zatim kliknite na dugme Dalje. OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na vašem računaru.
4	Opciono, kliknite na dugme Otvori Vodič za raspoređivanje da biste proverili da li postoji kasnija verzija ovog vodiča.

Kreirajte konfiguraciju ISO za HDS Hosts

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

Pre nego što počnete

Alat za podešavanje HDS-a radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, pokrenite Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Control Hub-a sa punim administratorskim pravima za vašu organizaciju.

Ako nemate dozvolu za Docker Desktop, možete koristiti Podman Desktop da biste pokrenuli alat za podešavanje HDS-a za korake KSNUMKS do KSNUMKS u postupku ispod. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće promenljive okruženja:

Opis

Promenljiva

HTTP proksi bez autentifikacije

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS proki bez autentifikacije

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP proki sa autentifikacijom

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proki sa autentifikacijom

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:
- Akreditivi baze podataka
- Ažuriranje sertifikata
- Izmene u politici ovlašćenja
Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

U komandnoj liniji vaše mašine, unesite odgovarajuću komandu za vaše okruženje:

U redovnim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za podešavanje HDS-a. Ako nema prethodnih slika, vraća grešku koju možete ignorisati.

Da biste se prijavili u registar slika Docker-a, unesite sledeće:

docker login -u hdscustomersro

Na upit za lozinku, unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za vaše okruženje:

U redovnim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

U redovnim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U redovnim okruženjima sa HTTP proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovnim okruženjima sa HTTPS proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima sa HTTP proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima sa HTTPS proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada se kontejner pokreće, vidite "Ekpress server sluša na portu 8080."

Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

Koristite veb pretraživač da biste otišli na localhost, http://127.0.0.1:8080i unesite korisničko ime administratora korisnika za Control Hub na prompt.

Alat koristi ovaj prvi unos korisničkog imena da bi postavio odgovarajuće okruženje za taj nalog. Alat zatim prikazuje standardni upit za prijavljivanje.

Kada se to od vas zatraži, unesite akreditive za prijavljivanje administratora korisnika Control Hub-a, a zatim kliknite na dugme Prijavite se da biste omogućili pristup potrebnim uslugama za hibridnu sigurnost podataka.

Na stranici pregleda alata za podešavanje kliknite na dugme Početak.

Na stranici ISO Import imate ove opcije:

Ne—Ako kreirate svoj prvi HDS čvor, nemate ISO fajl za otpremanje.
Da—Ako ste već kreirali HDS čvorove, onda izaberete svoj ISO fajl u pretraživanju i otpremite ga.

Proverite da li vaš Ks.KSNUMKS sertifikat ispunjava uslove u Ks.KSNUMKS zahtevima za sertifikat.

Ako nikada ranije niste otpremili sertifikat, otpremite Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.
Ako je vaš sertifikat u redu, kliknite na dugme Nastavi.
Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavite da koristite lanac sertifikata HDS i privatni ključ iz prethodnog ISO?. Otpremite novi Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.

Unesite adresu baze podataka i račun za HDS da biste pristupili ključnom skladištu podataka:

Izaberite tip baze podataka (PostgreSKL ili Microsoft SKL Server).

Ako izaberete Microsoft SKL Server, dobićete polje Authentication Tipe.
(Samo Microsoft SKL Server ) Izaberite svoj tip autentifikacije:
- Osnovna autentifikacija: Potrebno vam je ime lokalnog SKL Server naloga u polju Korisničko ime .
- Autentifikacija prozora: Potreban vam je Vindovs nalog u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu servera baze podataka u obliku : ili :.

Primer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresu za osnovnu autentifikaciju, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

Ako koristite Vindovs autentifikaciju, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433
Unesite ime baze podataka.
Unesite korisničko ime i lozinku korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva.

Izaberite režim povezivanja TLS baze podataka:

Režim	Opis
Preferirajte TLS (podrazumevana opcija)	HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju šifrovanu vezu.
Zahtevajte TLS	HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS.
Zahtevajte TLS i potvrdite potpisnika sertifikata	Ovaj režim nije primenljiv za SKL Server baze podataka. HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS. Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne poklapaju, čvor ispušta vezu. Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili root sertifikat za ovu opciju.
Zahtevajte TLS i potvrdite potpisnika sertifikata i ime hosta	HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS. Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne poklapaju, čvor ispušta vezu. Čvorovi takođe potvrđuju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Host i port baze podataka. Imena se moraju tačno poklapati, ili čvor ispušta vezu. Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili root sertifikat za ovu opciju.

Kada otpremite root sertifikat (ako je potrebno) i kliknite na dugme Nastavi, HDS Setup Tool testira TLS vezu sa serverom baze podataka. Alat takođe potvrđuje potpisnika sertifikata i ime hosta, ako je primenljivo. Ako test ne uspe, alat prikazuje poruku o grešci koja opisuje problem. Možete da izaberete da li da ignorišete grešku i nastavite sa podešavanjem. (Zbog razlika u povezivanju, HDS čvorovi bi mogli da uspostave TLS vezu čak i ako mašina HDS Setup Tool ne može uspešno da je testira.)

Na stranici Sistemski dnevnik konfigurišite svoj Sislogd server:

Unesite URL sislog servera.

Ako server nije DNS-rešiv iz čvorova za vaš HDS klaster, koristite IP adresu u URL-u.

Primer:
udp://10.92.43.23:514 označava prijavljivanje na Sislogd host 10.92.43.23 na UDP portu 514.
Ako podesite svoj server da koristi TLS enkripciju, proverite Da li je vaš server konfigurisan za TLS pregovaranje / rukovanje?

Ako označite ovo polje za potvrdu, proverite da li ste uneli TCP URL kao što je tcp://10.92.43.23:514, i otpremite sislog root sertifikat.
Iz padajućeg menija Izaberite sislog zapis o prestanku , izaberite odgovarajuću postavku za vašu ISO datoteku: Izaberite ili Nevline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Newline -- \n—Izaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na dugme Nastavi.

(Opciono) Možete promeniti podrazumevanu vrednost za neke parametre veze sa bazom podataka u Naprednim podešavanjima. Generalno, ovaj parametar je jedini koji biste možda želeli da promenite:

app_datasource_connection_pool_maxSize: 10

Kliknite na dugme Nastavi na ekranu za resetovanje lozinke servisnih naloga.

Lozinke servisnog računa imaju životni vek od devet meseci. Koristite ovaj ekran kada se vaše lozinke približavaju isteku ili želite da ih resetujete da biste poništili prethodne ISO datoteke.

Kliknite na dugme Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu.

Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.

Da biste isključili alat za podešavanje, upišite CTRL+C.

Šta dalje

Napravite rezervnu kopiju konfiguracije ISO datoteke. Potrebno vam je da biste kreirali više čvorova za oporavak ili da biste izvršili promene konfiguracije. Ako izgubite sve kopije ISO datoteke, takođe ste izgubili glavni ključ. Oporavak ključeva iz baze podataka PostgreSKL ili Microsoft SKL Server nije moguć.

Nikada nemamo kopiju ovog ključa i ne možemo pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovu proceduru da biste kreirali virtuelnu mašinu iz OVA datoteke.

1	Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host.
2	Izaberite File > Deploy OVF Template.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na dugme Dalje.
4	Na stranici Izaberite ime i fasciklu unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), izaberite lokaciju na kojoj se može nalaziti raspoređivanje čvora virtuelne mašine, a zatim kliknite na dugme Dalje.
5	Na stranici Izaberite računarski resurs izaberite odredišni računarski resurs, a zatim kliknite na dugme Sledeći. Provera validacije radi. Nakon završetka, pojavljuju se detalji šablona.
6	Proverite detalje šablona, a zatim kliknite na dugme Sledeći.
7	Ako se od vas traži da izaberete konfiguraciju resursa na stranici Konfiguracija, kliknite na 4 CPU, a zatim kliknite na dugme Dalje.
8	Na stranici Izaberi skladište kliknite na dugme Dalje da biste prihvatili podrazumevani format diska i politiku skladištenja VM-a.
9	Na stranici Izaberite mreže izaberite mrežnu opciju sa liste unosa da biste obezbedili željenu povezanost sa VM-om.
10	Na stranici Prilagodi šablon konfigurišite sledeća mrežna podešavanja: Ime hosta—Unesite FQDN (ime hosta i domen) ili ime hosta sa jednom rečju za čvor. Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata. Da biste osigurali uspešnu registraciju u oblaku, koristite samo mala slova u FKDN-u ili ime domaćina koje ste postavili za čvor. Velika slova nisu podržana u ovom trenutku. Ukupna dužina FKDN-a ne sme biti veća od 64 znakova. IP adresa— Unesite IP adresu za interni interfejs čvora. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan. Mask—Unesite adresu maske podmreže u tačka-decimalni zapis. Na primer, 255.255.255.0. Gateway—Unesite IP adresu gateway-a. Gatevai je mrežni čvor koji služi kao pristupna tačka drugoj mreži. DNS serveri – Unesite listu DNS servera odvojenih zarezima, koji se bave prevođenjem imena domena u numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.) NTP serveri – unesite NTP server vaše organizacije ili neki drugi eksterni NTP server koji se može koristiti u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete koristiti listu razdvojenu zarezom da unesete više NTP servera. Rasporedite sve čvorove na istoj podmreži ili VLAN-u, tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako želite, možete preskočiti konfiguraciju podešavanja mreže i sledite korake u Podesite VM hibridne bezbednosti podataka da biste konfigurisali postavke sa konzole čvora. Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.
11	Kliknite desnim tasterom miša na čvor VM, a zatim izaberite Pover > Power On. Softver za hibridnu sigurnost podataka instaliran je kao gost na VM Host-u. Sada ste spremni da se prijavite na konzolu i konfigurišete čvor. Saveti za rešavanje problema Možda ćete doživeti kašnjenje od nekoliko minuta pre nego što se pojave kontejneri čvorova. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja, tokom koje ne možete da se prijavite.

Podesite VM za hibridnu bezbednost podataka

Koristite ovu proceduru da biste se prvi put prijavili na VM konzolu čvora Hibrid Data Securiti i postavili akreditive za prijavljivanje. Takođe možete koristiti konzolu da biste konfigurisali mrežne postavke za čvor ako ih niste konfigurisali u vreme primene OVA.

1	U VMvare vSphere klijentu izaberite svoj VM čvor za sigurnost hibridnih podataka i izaberite karticu Konzola . VM se pokreće i pojavljuje se upit za prijavljivanje. Ako se poziv za prijavljivanje ne prikaže, pritisnite Enter.
2	Koristite sledeće podrazumevano korisničko ime i lozinku da biste se prijavili i promenili akreditive: Prijavljivanje: `admin` Lozinka: `cisco` Pošto se prvi put prijavljujete na svoj VM, od vas se traži da promenite lozinku administratora.
3	Ako ste već konfigurisali mrežne postavke u Install the HDS Host OVA, preskočite ostatak ove procedure. U suprotnom, u glavnom meniju izaberite opciju Edit Configuration .
4	Podesite statičku konfiguraciju sa IP adresom, maskom, gatevai-om i DNS informacijama. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.
5	(Opciono) Promenite ime hosta, domen ili NTP server(e), ako je potrebno da odgovara vašoj mrežnoj politici. Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata.
6	Sačuvajte mrežnu konfiguraciju i ponovo pokrenite VM tako da promene stupe na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da podesite virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću HDS Setup Tool.

Pre nego što počnete

Budući da ISO datoteka sadrži glavni ključ, trebalo bi da bude izložena samo na osnovu "potrebe da se zna", za pristup VM-ovima hibridnih podataka za bezbednost podataka i svim administratorima koji će možda morati da izvrše promene. Uverite se da samo ti administratori mogu da pristupe skladištu podataka.

Otpremite ISO datoteku sa računara:

U levom oknu za navigaciju VMvare vSphere klijenta kliknite na ESKSi server.
Na listi hardvera na kartici Konfiguracija, kliknite na Skladištenje.
Na listi Datastores, kliknite desnim tasterom miša na skladište podataka za vaše VM-ove i kliknite na Pregledaj Datastore.
Kliknite na ikonu Otpremi datoteke, a zatim kliknite na dugme Otpremi datoteku.
Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na računaru i kliknite na dugme Otvori.
Kliknite na Da da prihvatite upozorenje o otpremanju/preuzimanju operacije, i zatvorite dijalog skladišta podataka.

Montirajte ISO datoteku:

U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.
Kliknite OK da prihvatite upozorenje o ograničenim opcijama uređivanja.
Kliknite na , CD/DVD Drive 1izaberite opciju za montiranje iz ISO datoteke skladišta podataka i pregledajte lokaciju na kojoj ste postavili ISO datoteku konfiguracije.
Proverite Connected i Connect na napajanje.
Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta dalje

Ako vaša IT politika zahteva, možete opciono demontirati ISO datoteku nakon što svi vaši čvorovi pokupe promene konfiguracije. Pogledajte (Opciono) Demontirajte ISO nakon HDS konfiguracije za detalje.

Konfigurišite HDS čvor za integraciju proksi

Ako mrežno okruženje zahteva proki, koristite ovu proceduru da biste odredili vrstu proksi koji želite da integrišete sa hibridnim bezbednosti podataka. Ako izaberete transparentni proki za inspekciju ili HTTPS eksplicitni proki, možete koristiti interfejs čvora za otpremanje i instaliranje root sertifikata. Takođe možete da proverite proki vezu sa interfejsa, i rešavanje potencijalnih problema.

Pre nego što počnete

Pogledajte Proki Podrška za pregled podržanih opcija proki.
Zahtevi za proki server

1	Unesite URL za `https://[HDS Node IP or FQDN]/setup` podešavanje HDS čvora u veb pretraživaču, unesite administratorske akreditive koje ste postavili za čvor, a zatim kliknite na dugme Prijavite se.
2	Idite na Trust Store & Proki, a zatim izaberite opciju: Nema proxy—Podrazumevana opcija pre nego što integrišete proxy. Nije potrebno ažuriranje sertifikata. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Nije potrebno ažuriranje sertifikata. Transparent Inspecting Proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proki servera. Nisu potrebne promene konfiguracije HTTPS-a na implementaciji hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban root sertifikat tako da veruju punomoćniku. Inspekcija punomoćnika se obično koristi od strane IT da sprovede politike o kojima sajtovi mogu da se posećuju i koje vrste sadržaja nisu dozvoljene. Ova vrsta proksi dešifruje sav vaš saobraćaj (čak i HTTPS). Eksplicitni proki—Sa eksplicitnim proxyjem, kažete klijentu (HDS čvorovima) koji proksi server da koristi, a ova opcija podržava nekoliko tipova autentifikacije. Nakon što izaberete ovu opciju, morate uneti sledeće informacije: Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja. Proxy Protocol—Izaberite http (pregleda i kontroliše sve zahteve koji su primljeni od klijenta) ili https (obezbeđuje kanal do servera i klijent prima i potvrđuje sertifikat servera). Izaberite opciju na osnovu onoga što vaš proki server podržava. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije: Nijedan—Dodatna autentifikacija nije potrebna. Dostupno za HTTP ili HTTPS punomoćnike. Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS punomoćnike. Ako izaberete ovu opciju, morate uneti i korisničko ime i lozinku. Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže. Dostupno samo za HTTPS punomoćnike. Ako izaberete ovu opciju, morate uneti i korisničko ime i lozinku. Pratite sledeće korake za transparentni proki za inspekciju, HTTP eksplicitni proki sa osnovnom autentifikacijom ili HTTPS eksplicitni proki.
3	Kliknite na dugme Otpremite korenski sertifikat ili sertifikat krajnjeg entiteta, a zatim idite na a izaberite root sertifikat za proki. Sertifikat je otpremljen, ali još nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševrona pored imena izdavača sertifikata da biste dobili više detalja ili kliknite na dugme Delete ako ste napravili grešku i želite da ponovo otpremite datoteku.
4	Kliknite na Proveri Proki vezu da testirate mrežnu povezanost između čvora i proki. Ako test veze ne uspe, videćete poruku o grešci koja pokazuje razlog i kako možete da ispravite problem. Ako vidite poruku koja kaže da spoljna rezolucija DNS-a nije bila uspešna, čvor nije mogao da dođe do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim konfiguracijama proki. Možete nastaviti sa podešavanjem, a čvor će funkcionisati u režimu blokirane eksterne DNS rezolucije. Ako mislite da je ovo greška, završite ove korake, a zatim pogledajte Isključite blokirani režim rezolucije spoljnog DNS-a.
5	Nakon što prođe test veze, za eksplicitni proki podešen samo na https, uključite prekidač na Route all port 443/444 https zahteve iz ovog čvora preko eksplicitnog proki. Ova postavka zahteva 15 sekundi da stupi na snagu.
6	Kliknite na dugme Instaliraj sve sertifikate u prodavnicu poverenja (pojavljuje se za HTTPS eksplicitni proki ili transparentni proki) ili Reboot (pojavljuje se za HTTP eksplicitni proki), pročitajte upit, a zatim kliknite na dugme Install ako ste spremni. Čvor se ponovo pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovo pokrene, prijavite se ponovo ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere povezivanja kako biste bili sigurni da su svi u zelenom statusu. Provera proki veze testira samo poddomen webex.com. Ako postoje problemi sa povezivanjem, uobičajeno pitanje je da su neki od domena oblaka navedenih u uputstvima za instalaciju blokirani na punomoćniku.

Registrujte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u podešavanju VM-a za hibridnu sigurnost podataka, registruje čvor sa Vebek oblakom i pretvara ga u čvor hibridne sigurnosti podataka.

Kada registrujete svoj prvi čvor, kreirate klaster na koji je čvor dodeljen. Klaster sadrži jedan ili više čvorova raspoređenih da obezbede redundantnost.

Pre nego što počnete

Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.
Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Iz menija na levoj strani ekrana izaberite Usluge.
3	U odeljku Hibridne usluge pronađite Hibrid Data Securiti i kliknite na dugme Postavi. Pojavljuje se stranica Registrujte hibridni čvor za bezbednost podataka.
4	Izaberite Da da da biste označili da ste postavili čvor i da ste spremni da ga registrujete, a zatim kliknite na dugme Sledeći.
5	U prvo polje unesite ime klastera na koji želite da dodelite svoj čvor Hibrid Data Securiti. Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera nalaze geografski. Primeri: "San Francisko" ili "Njujork" ili "Dalas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Sledeći. Ova IP adresa ili FKDN treba da odgovara IP adresi ili imenu hosta i domenu koji ste koristili u Podešavanje VM-a za hibridnu bezbednost podataka. Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor na Vebek.
7	Kliknite na dugme Idi na čvor.
8	Kliknite na dugme Nastavi u poruci upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj Vebek organizaciji za pristup vašem čvoru.
9	Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi. Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku.
10	Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Control Hub Hibrid Data Securiti. Na stranici Hibridna bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Da biste dodali dodatne čvorove u vaš klaster, jednostavno kreirajte dodatne VM-ove i montirajte istu konfiguracijsku ISO datoteku, a zatim registrujte čvor. Preporučujemo da imate najmanje 3 čvora.

U ovom trenutku, rezervni VM-ovi koje ste kreirali u Popunite preduslove za hibridnu sigurnost podataka su domaćini u stanju pripravnosti koji se koriste samo u slučaju oporavka od katastrofe; do tada nisu registrovani u sistemu. Za detalje pogledajte Oporavak od katastrofe koristeći Standbi Data Center.

Pre nego što počnete

Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.
Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1	Kreirajte novu virtuelnu mašinu iz OVA, ponavljajući korake u Instalirajte HDS Host OVA.
2	Podesite početnu konfiguraciju na novom VM-u, ponavljajući korake u Podesite VM hibridne bezbednosti podataka.
3	Na novom VM-u, ponovite korake u Otpremite i montirajte HDS konfiguraciju ISO.
4	Ako postavljate proki za vašu raspoređivanje, ponovite korake u Konfigurišite HDS čvor za integraciju proki po potrebi za novi čvor.
5	Registrujte čvor. U https://admin.webex.com, izaberite Usluge iz menija na levoj strani ekrana. U odeljku Hibridne usluge pronađite karticu Hibrid Data Securiti i kliknite na Resursi. Pojavljuje se stranica Hibridni resursi za bezbednost podataka. Kliknite na Dodaj resurs. U prvom polju izaberite ime postojećeg klastera. U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Sledeći. Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor u Vebek oblaku. Kliknite na dugme Idi na čvor. Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj organizaciji za pristup vašem čvoru. Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi. Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku. Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Control Hub Hibrid Data Securiti. Vaš čvor je registrovan. Imajte na umu da dok ne započnete suđenje, vaši čvorovi generišu alarm koji pokazuje da vaša usluga još nije aktivirana.

Šta dalje

Pokrenite suđenje i pređite na proizvodnju (sledeće poglavlje)

Pokrenite suđenje i pređite na proizvodnju

Suđenje za protok zadataka proizvodnje

Nakon što podesite klaster hibridne bezbednosti podataka, možete započeti pilot, dodati korisnike na njega i početi da ga koristite za testiranje i verifikaciju vašeg raspoređivanja u pripremi za prelazak u proizvodnju.

Pre nego što počnete

Podesite hibridni klaster za bezbednost podataka

1	Ako je primenljivo, sinhronizujte objekat grupe `HdsTrialGroup` . Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete `HdsTrialGroup` objekat grupe za sinhronizaciju sa oblakom pre nego što započnete probnu verziju. Za instrukcije pogledajte Vodič za raspoređivanje Cisco Directori Connector.
2	Aktivirajte probnu verziju Započnite suđenje. Dok ne uradite ovaj zadatak, vaši čvorovi generišu alarm koji ukazuje da usluga još nije aktivirana.
3	Testirajte svoju hibridnu bezbednost podataka Proverite da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.
4	Nadgledajte hibridno zdravlje bezbednosti podataka Proverite status i podesite obaveštenja putem e-pošte za alarme.
5	Dodajte ili uklonite korisnike iz probne verzije
6	Završite probnu fazu sa jednom od sledećih radnji: Pređite sa suđenja na proizvodnju Završite suđenje bez prelaska na proizvodnju

Aktivirajte probnu verziju

Pre nego što počnete

Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete HdsTrialGroup objekat grupe za sinhronizaciju sa oblakom pre nego što započnete probnu verziju za vašu organizaciju. Za instrukcije pogledajte Vodič za raspoređivanje Cisco Directori Connector.

1	Prijavite se na https://admin.webex.com, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Status usluge kliknite na dugme Pokreni probnu verziju. Status usluge se menja u probni režim.
4	Kliknite na Dodaj korisnike i unesite adresu e-pošte jednog ili više korisnika za pilot koristeći svoje Hibrid Data Securiti čvorove za šifrovanje i indeksiranje usluga. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directori za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju hibridnu bezbednost podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka.

Pre nego što počnete

Podesite svoju hibridnu bezbednost podataka.
Aktivirajte suđenje i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sislog-u da biste proverili da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.

Ključeve za određeni prostor postavlja kreator prostora. Prijavite se u aplikaciju Vebek kao jedan od pilot korisnika, a zatim kreirajte prostor i pozovite najmanje jednog pilot korisnika i jednog korisnika koji nije pilot.

Ako deaktivirate hibridnu bezbednost podataka, sadržaj u prostorima koje pilot korisnici kreiraju više nije dostupan kada se zamene kopije ključeva za šifrovanje koje se nalaze u klijentu.

Šaljite poruke u novi prostor.

Proverite izlaz sislog-a da biste proverili da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.

Da biste proverili da li je korisnik prvo uspostavio siguran kanal za KMS, filtrirajte i kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebalo bi da pronađete unos kao što je sledeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste proverili da li korisnik traži postojeći ključ iz KMS-a, filtrirajte kms.data.method=retrieve i kms.data.type=KEY:

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste proverili da li je korisnik zatražio kreiranje novog KMS ključa, filtrirajte kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Da biste proverili korisnika koji zahteva kreiranje novog KMS Resource Object (KRO) kada je kreiran prostor ili drugi zaštićeni resurs, filtrirajte kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridno zdravlje bezbednosti podataka

Indikator statusa unutar Control Hub-a pokazuje da li je sve u redu sa primenom hibridne bezbednosti podataka. Za više proaktivnog upozorenja, prijavite se za obaveštenja putem e-pošte. Bićete obavešteni kada postoje alarmi koji utiču na uslugu ili nadogradnje softvera.

1	U Control Hub-u izaberite Usluge iz menija na levoj strani ekrana.
2	U odeljku Hibridne usluge pronađite Hibrid Data Securiti i kliknite na dugme Settings. Pojavljuje se stranica Podešavanja hibridne bezbednosti podataka.
3	U odeljku Obaveštenja e-pošte upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Enter.

Dodajte ili uklonite korisnike iz probne verzije

Nakon što aktivirate probnu verziju i dodate početni skup probnih korisnika, možete dodati ili ukloniti probne članove u bilo kom trenutku dok je probno razdoblje aktivno.

Ako uklonite korisnika iz probne verzije, korisnikov klijent će zatražiti ključeve i kreiranje ključeva iz KMS-a u oblaku umesto vašeg KMS-a. Ako klijentu treba ključ koji se čuva na vašem KMS-u, KMS u oblaku će ga preuzeti u ime korisnika.

Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directori (umesto ove procedure) da upravljate probnom grupom, ; možete da vidite članove grupe u Control Hub-u, HdsTrialGroupali ne možete da ih dodate ili uklonite.

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Probni režim u oblasti Status usluge kliknite na dugme Dodaj korisnike ili kliknite na prikaz i uređivanje da biste uklonili korisnike iz probne verzije.
4	Unesite adresu e-pošte jednog ili više korisnika koje želite dodati, ili kliknite na Ks pomoću korisničkog ID-a da biste uklonili korisnika iz probnog perioda. Zatim kliknite na dugme Sačuvaj.

Pređite sa suđenja na proizvodnju

Kada ste zadovoljni da vaša primena dobro funkcioniše za probne korisnike, možete preći na proizvodnju. Kada pređete na proizvodnju, svi korisnici u organizaciji će koristiti vaš lokalni domen hibridne bezbednosti podataka za ključeve za šifrovanje i druge usluge bezbednosti. Ne možete se vratiti u probni režim iz proizvodnje, osim ako ne deaktivirate uslugu kao deo oporavka od katastrofe. Ponovno aktiviranje usluge zahteva da podesite novu probnu verziju.

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Status usluge kliknite na dugme Premesti u proizvodnju.
4	Potvrdite da želite da premestite sve svoje korisnike u proizvodnju.

Završite suđenje bez prelaska na proizvodnju

Ako, tokom suđenja, odlučite da ne nastavite sa primenom hibridne bezbednosti podataka, možete deaktivirati hibridnu bezbednost podataka, koja završava suđenje i pomera probne korisnike nazad na usluge bezbednosti podataka u oblaku. Korisnici suđenja će izgubiti pristup podacima koji su šifrovani tokom suđenja.

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Deaktiviraj kliknite na dugme Deaktiviraj.
4	Potvrdite da želite da deaktivirate uslugu i završite suđenje.

Upravljajte svojim HDS raspoređivanjem

Upravljajte HDS raspoređivanjem

Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

Podesite raspored nadogradnje klastera

Nadogradnje softvera za hibridnu sigurnost podataka obavljaju se automatski na nivou klastera, što osigurava da svi čvorovi uvek pokreću istu verziju softvera. Nadogradnje se vrše u skladu sa rasporedom nadogradnje za klaster. Kada nadogradnja softvera postane dostupna, imate mogućnost ručnog nadogradnje klastera pre zakazanog vremena nadogradnje. Možete podesiti određeni raspored nadogradnje ili koristiti podrazumevani raspored 3:00 AM Dnevni Sjedinjene Države: Amerika / Los Anđeles. Takođe možete izabrati da odložite predstojeću nadogradnju, ako je potrebno.

Da biste podesili raspored nadogradnje:

1	Prijavite se na Control Hub.
2	Na stranici Pregled, u odjeljku Hibridne usluge, izaberite Hibridna sigurnost podataka.
3	Na stranici Hibridni resursi za bezbednost podataka izaberite klaster.
4	Na panelu Pregled na desnoj strani, pod Podešavanja klastera, izaberite ime klastera.
5	Na stranici Podešavanja, pod Nadogradnja, izaberite vreme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Nadogradnju možete odložiti za sledeći dan, ako je potrebno, klikom na dugme Odloži.

Promenite konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog čvora za bezbednost podataka iz razloga kao što su:

Promena k.KSNUMKS sertifikata zbog isteka ili drugih razloga.

Ne podržavamo promenu imena CN domena sertifikata. Domen mora odgovarati originalnom domenu koji se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promenu u repliku baze podataka PostgreSKL ili Microsoft SKL Server.

Ne podržavamo migraciju podataka iz PostgreSKL-a na Microsoft SKL Server ili na suprotan način. Da biste prebacili okruženje baze podataka, započnite novu raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremu novog data centra.

Takođe, iz bezbednosnih razloga, Hibrid Data Securiti koristi lozinke servisnih naloga koji imaju životni vek od devet meseci. Nakon što alat za podešavanje HDS-a generiše ove lozinke, rasporedite ih na svaki od vaših HDS čvorova u ISO config datoteci. Kada se lozinke vaše organizacije približavaju isteku, dobijate obaveštenje od Vebek tima da resetujete lozinku za vaš račun mašine. (E-mail sadrži tekst, "Koristite API naloga mašine za ažuriranje lozinke.") Ako vaše lozinke još nisu istekle, alat vam daje dve opcije:

Soft reset—I stara i nova lozinka rade do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.
Hard reset—Stare lozinke odmah prestaju da rade.

Ako vaše lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući hitnu hard reset i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru da biste generisali novu konfiguraciju ISO datoteku i primenite je na vaš klaster.

Pre nego što počnete

Alat za podešavanje HDS-a radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, pokrenite Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Control Hub-a sa punim administratorskim pravima za vašu organizaciju.

Ako nemate dozvolu za Docker Desktop, možete koristiti Podman Desktop da biste pokrenuli alat za podešavanje HDS-a za korake KSNUMKS.a do KSNUMKS.e u postupku ispod. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

Ako alat za podešavanje HDS-a radi iza proksija u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u KSNUMKS.e. Ova tabela daje neke moguće promenljive okruženja:

Opis	Promenljiva
HTTP proksi bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proki bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proki sa autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proki sa autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potreban vam je ISO kada pravite promene konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene u politici autorizacije.

1	Koristeći Docker na lokalnoj mašini, pokrenite HDS Setup Tool. U komandnoj liniji vaše mašine, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne slike alata za podešavanje HDS-a. Ako nema prethodnih slika, vraća grešku koju možete ignorisati. Da biste se prijavili u registar slika Docker-a, unesite sledeće: `docker login -u hdscustomersro` Na upit za lozinku, unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za vaše okruženje: U redovnim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable` Uverite se da povučete najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTP proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTPSproki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTP proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTPS proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada se kontejner pokreće, vidite "Ekpress server sluša na portu 8080." Koristite pretraživač da biste se povezali sa localhost-om, `http://127.0.0.1:8080`. Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost. Kada se to od vas zatraži, unesite akreditive za prijavljivanje korisnika Control Hub-a, a zatim kliknite na dugme Prihvati da biste nastavili. Uvezite trenutnu konfiguraciju ISO datoteku. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku. Da biste isključili alat za podešavanje, upišite `CTRL+C`. Kreirajte rezervnu kopiju ažurirane datoteke u drugom data centru.
2	Ako imate samo jedan HDS čvor koji radi, kreirajte novi VM čvor za bezbednost hibridnih podataka i registrujte ga pomoću nove konfiguracije ISO datoteke. Za detaljnija uputstva, pogledajte Kreirajte i registrujte više čvorova. Instalirajte HDS host OVA. Podesite HDS VM. Montirajte ažuriranu konfiguracionu datoteku. Registrujte novi čvor u Control Hub-u.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeću proceduru na svakom čvoru zauzvrat, ažurirajući svaki čvor pre isključivanja sledećeg čvora: Isključite virtuelnu mašinu. U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja. Kliknite `CD/DVD Drive 1`, izaberite opciju za montiranje iz ISO datoteke, i pregledajte lokaciju na kojoj ste preuzeli novu konfiguraciju ISO datoteku. Proverite Povežite se pri uključivanju. Sačuvajte promene i napajanje na virtuelnoj mašini.
4	Ponovite korak KSNUMKS da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključite blokirani režim rezolucije eksternog DNS-a

Kada registrujete čvor ili proverite konfiguraciju proki čvora, proces testira DNS pretraživanje i povezivanje sa Cisco Vebek oblakom. Ako DNS server čvora ne može da reši javna DNS imena, čvor automatski prelazi u režim blokirane eksterne DNS rezolucije.

Ako su vaši čvorovi u stanju da reše javna DNS imena preko internih DNS servera, možete isključiti ovaj režim ponovnim pokretanjem testa proki veze na svakom čvoru.

Pre nego što počnete

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.

1	U veb pretraživaču otvorite interfejs čvora Hibrid Data Securiti (IP adresa / podešavanje, na primer, https://192.0.2.0/setup), unesite administratorske akreditive koje ste postavili za čvor, a zatim kliknite na dugme Prijavite se.
2	Idi na Pregled (podrazumevana stranica). Kada je omogućeno, blokirana eksterna rezolucija DNS-a je postavljena na Da.
3	Idite na stranicu Trust Store & Proki .
4	Kliknite na Proverite proki vezu. Ako vidite poruku koja kaže da spoljna rezolucija DNS-a nije bila uspešna, čvor nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu Pregled , blokirana eksterna DNS rezolucija treba da bude podešena na ne.

Šta dalje

Ponovite test proki veze na svakom čvoru u vašem klasteru hibridne bezbednosti podataka.

Ukloni čvor

Koristite ovu proceduru da biste uklonili čvor hibridne bezbednosti podataka iz Vebek oblaka. Nakon što uklonite čvor iz klastera, izbrišite virtuelnu mašinu da biste sprečili dalji pristup vašim bezbednosnim podacima.

Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host i isključili virtuelnu mašinu.

Uklonite čvor:

Prijavite se u Control Hub, a zatim izaberite Usluge.
Na kartici Hibridna bezbednost podataka kliknite na dugme Pogledaj sve da biste prikazali stranicu Hibridni resursi za bezbednost podataka.
Izaberite svoj klaster da biste prikazali panel Pregled.
Kliknite na dugme Otvori listu čvorova.
Na kartici Čvorovi, izaberite čvor koji želite da uklonite.
Kliknite na Akcije > Odjavi čvor.

U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite Izbriši.)

Ako ne izbrišete VM, ne zaboravite da demontirate konfiguracijsku ISO datoteku. Bez ISO datoteke, ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe koristeći Standbi Data Center

Najkritičnija usluga koju pruža vaš hibridni klaster bezbednosti podataka je kreiranje i skladištenje ključeva koji se koriste za šifrovanje poruka i drugog sadržaja koji se čuvaju u Vebek oblaku. Za svakog korisnika u organizaciji koji je dodeljen hibridnoj bezbednosti podataka, novi zahtevi za kreiranje ključeva se usmeravaju na klaster. Klaster je takođe odgovoran za vraćanje ključeva koje je kreiran svim korisnicima koji su ovlašćeni da ih preuzmu, na primer, članovi prostora za razgovor.

Pošto klaster obavlja kritičnu funkciju pružanja ovih ključeva, neophodno je da klaster ostane pokrenut i da se održavaju odgovarajuće rezervne kopije. Gubitak baze podataka hibridne bezbednosti podataka ili konfiguracije ISO koji se koristi za šemu će rezultirati NEPOVRATNIM GUBITKOM sadržaja korisnika. Sledeće prakse su obavezne da bi se sprečio takav gubitak:

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru za podatke postane nedostupno, pratite ovu proceduru da biste ručno prebacili u rezervni centar za podatke.

1	Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts.
2	Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja
3	Na stranici Napredna podešavanja , dodajte konfiguraciju ispod ili uklonite konfiguraciju `passiveMode` da bi čvor bio aktivan. Čvor može da upravlja saobraćajem kada je ovo konfigurisano. `passiveMode: 'false'`
4	Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.
5	Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.
6	U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..
7	Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl. Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.
8	Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.
9	Ponovite postupak za svaki čvor u rezervnom data centru. Proverite izlaz sislog-a da biste proverili da li čvorovi rezervnog data centra nisu u pasivnom režimu. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavi u sislogs.

Šta dalje

Nakon failover-a, ako primarni centar za podatke ponovo postane aktivan, ponovo postavite centar za podatke u stanju pripravnosti u pasivni režim prateći korake opisane u Setup Standbi Data Center za oporavak od katastrofe.

(Opciono) Demontirajte ISO nakon HDS konfiguracije

Standardna HDS konfiguracija radi sa montiranim ISO-om. Ali, neki kupci ne vole da ostavljaju ISO datoteke kontinuirano montirane. Možete demontirati ISO datoteku nakon što svi HDS čvorovi pokupi novu konfiguraciju.

I dalje koristite ISO fajlove da biste napravili promene u konfiguraciji. Kada kreirate novi ISO ili ažurirate ISO putem alata za podešavanje, morate montirati ažurirani ISO na svim vašim HDS čvorovima. Kada su svi vaši čvorovi pokupili promene konfiguracije, možete ponovo demontirati ISO sa ovom procedurom.

Pre nego što počnete

Nadogradite sve svoje HDS čvorove na verziju 2025.06.02.6983 ili noviju.

1	Isključite jedan od vaših HDS čvorova.
2	U vCenter Server Appliance-u izaberite HDS čvor.
3	Izaberite Edit Settings > CD / DVD uređaj i isključite Datastore ISO datoteku.
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite za svaki HDS čvor redom.

Rešavanje problema sa hibridnom sigurnošću podataka

Pogledaj upozorenja i rešavanje problema

Hibridna bezbednost podataka primena se smatra nedostupnom ako su svi čvorovi u klasteru nedostupni, ili klaster radi tako sporo da zahteva vremenski istek. Ako korisnici ne mogu da dođu do vašeg klastera Hibrid Data Securiti, doživljavaju sledeće simptome:

Novi prostori ne mogu biti kreirani (ne mogu da kreiraju nove ključeve)
Poruke i prostorni naslovi ne uspevaju da dešifruju za:
- Novi korisnici dodat u prostor (ne mogu da dohvate ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu da dohvate ključeve)
Postojeći korisnici u prostoru će nastaviti da rade uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

Važno je da pravilno pratite svoj hibridni klaster bezbednosti podataka i odmah se bavite svim upozorenjima kako biste izbegli prekid usluge.

Upozorenja

Ako postoji problem sa podešavanjem hibridne bezbednosti podataka, Control Hub prikazuje upozorenja administratoru organizacije i šalje e-poštu na konfigurisanu adresu e-pošte. Upozorenja pokrivaju mnoge uobičajene scenarije.

Tabela 1. Uobičajena pitanja i koraci za njihovo rešavanje
Upozorenje	Radnja
Neuspeh pristupa lokalnoj bazi podataka.	Proverite greške u bazi podataka ili probleme sa lokalnom mrežom.
Neuspeh veze sa lokalnom bazom podataka.	Proverite da li je server baze podataka dostupan, a u konfiguraciji čvora korišćeni su pravi akreditivi servisnog naloga.
Neuspeh pristupa Cloud servisu.	Proverite da li čvorovi mogu pristupiti Vebek serverima kao što je navedeno u Zahtevima za eksterno povezivanje.
Obnavljanje registracije usluga u oblaku.	Registracija za cloud usluge je odbačena. Obnova registracije je u toku.
Registracija Cloud servisa je pala.	Registracija za cloud usluge prestala. Usluga se gasi.
Servis još nije aktiviran.	Aktivirajte probnu verziju ili završite premeštanje suđenja u proizvodnju.
Konfigurisani domen ne odgovara sertifikatu servera.	Uverite se da sertifikat vašeg servera odgovara konfigurisanom domenu za aktivaciju usluge. Najverovatniji uzrok je da je sertifikat CN nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.
Nije uspelo da se autentifikuje u cloud uslugama.	Proverite tačnost i mogući istek akreditiva servisnog računa.
Failed to open local kestores file.	Proverite integritet i tačnost lozinke na lokalnom keistore fajlu.
Sertifikat lokalnog servera je nevažeći.	Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za sertifikate.
Nije moguće objaviti metriku.	Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.
/media/configdrive/hds direktorijum ne postoji.	Proverite konfiguraciju ISO montiranja na virtuelnom hostu. Proverite da li ISO datoteka postoji, da li je konfigurisana za montiranje prilikom ponovnog pokretanja i da li se uspešno montira.

Rešavanje problema sa hibridnom sigurnošću podataka

Koristite sledeće opšte smernice kada rešavate probleme sa hibridnim bezbednošću podataka.

1	Pregledajte Control Hub za bilo kakva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz sislog servera za aktivnost iz primene hibridne bezbednosti podataka.
3	Kontaktirajte Cisco podršku.

Ostale beleške

Poznati problemi za hibridnu bezbednost podataka

Ako isključite klaster hibridne bezbednosti podataka (brisanjem u kontrolnom čvorištu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka za ključeve, korisnici vaše Vebek aplikacije više ne mogu da koriste prostore pod svojom listom ljudi koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probne i proizvodne primene. Trenutno nemamo zaobilazno rešenje ili popravku za ovaj problem i pozivamo vas da ne isključujete svoje HDS usluge kada se bave aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu u određenom vremenskom periodu (verovatno jedan sat). Kada korisnik postane član suđenja hibridne bezbednosti podataka, korisnikov klijent nastavlja da koristi postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti i vratiti u aplikaciju Vebek App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

Isto ponašanje se dešava kada premestite suđenje u proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim službama za bezbednost podataka nastaviće da koriste te usluge sve dok se ponovo ne pregovara o ECDH vezi (putem vremenskog ograničenja ili odjavom i ponovnim upisom).

Pokreni HDS Setup alat koristeći Podman Desktop

Podman je besplatan alat za upravljanje kontejnerima otvorenog koda koji pruža način za pokretanje, upravljanje i kreiranje kontejnera. Podman Desktop se može preuzeti sa https://podman-desktop.io/downloads.

Alat za podešavanje HDS-a radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, preuzmite i pokrenite Podman na toj mašini. Proces podešavanja zahteva akreditive naloga Control Hub-a sa punim administratorskim pravima za vašu organizaciju.

Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće promenljive okruženja:

Opis	Promenljiva
HTTP proksi bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proki bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proki sa autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proki sa autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:
- Akreditivi baze podataka
- Ažuriranje sertifikata
- Izmene u politici ovlašćenja
Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Šta dalje

Pratite preostale korake u Kreiranje konfiguracije ISO za HDS hostove ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Koristite OpenSSL da biste generisali PKCSKSNUMKS datoteku

Pre nego što počnete

OpenSSL je jedan alat koji se može koristiti za izradu PKCSKSNUMKS datoteke u odgovarajućem formatu za učitavanje u HDS Setup Tool. Postoje i drugi načini da se to uradi, a mi ne podržavamo ili promovišemo jedan način u odnosu na drugi.
Ako odlučite da koristite OpenSSL, pružamo ovu proceduru kao smernicu koja će vam pomoći da kreirate datoteku koja ispunjava zahteve Ks.KSNUMKS sertifikata u Ks.KSNUMKS zahtevima za sertifikat. Shvatite te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Započnite ovu proceduru kada primite sertifikat servera od vašeg autoriteta za sertifikate (CA).

1	Kada primite sertifikat servera od vašeg CA, sačuvajte ga kao `hdsnode.pem`.
2	Prikažite sertifikat kao tekst i proverite detalje. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora da sadrži sertifikat servera, sve intermediate CA sertifikate i root CA sertifikate, u sledećem formatu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Kreirajte .p12 datoteku sa prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Proverite detalje sertifikata servera. `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifrovanje privatnog ključa, tako da je naveden u izlazu. Zatim, proverite da li privatni ključ i prvi sertifikat uključuju linije `friendlyName: kms-private-key`. Primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Šta dalje

Vratite se da biste ispunili preduslove za hibridnu sigurnost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u Kreirajte konfiguraciju ISO za HDS hostove.

Možete ponovo koristiti ove fajlove da zatražite novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Saobraćaj za prikupljanje odlaznih metrika

Hibridni čvorovi za bezbednost podataka šalju određene metrike u Vebek oblak. To uključuje sistemske metrike za gomilu mak, gomilu koja se koristi, opterećenje CPU-a i broj niti; metrike na sinhronim i asinhronim nitima; metrike o upozorenjima koja uključuju prag enkripcijskih veza, kašnjenje ili dužinu reda zahteva; metrike u skladištu podataka; i metrike enkripcijske veze. Čvorovi šalju šifrovani ključni materijal preko kanala van opsega (odvojeno od zahteva).

Dolazni saobraćaj

Čvorovi hibridne bezbednosti podataka dobijaju sledeće vrste dolaznog saobraćaja iz Vebek oblaka:

Zahtevi za šifrovanje od klijenata, koji su usmereni od strane servisa za šifrovanje
Nadogradnje softvera čvora

Konfigurišite Squid Prokies za hibridnu sigurnost podataka

Vebsocket ne može da se poveže preko lignji proki

Lignje punomoćnici koji pregledavaju HTTPS saobraćaj mogu ometati uspostavljanje vebsocket (wss:) veza koje zahteva hibridna sigurnost podataka. Ovi odeljci daju smernice o tome kako konfigurisati različite verzije lignji da ignorišu wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte direktivu on_unsupported_protocol u:squid.conf

on_unsupported_protocol tunnel all

Srpski, English, Français...

Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima koja su dodana u squid.conf. Ova pravila su podložna promenama kako razvijamo funkcije i ažuriramo Vebek oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove i izmenjene informacije

Datum	Izvršene izmene
05 decembra, 2025	Ažurirano Kreirajte ISO konfiguraciju za HDS Hosts sa ispravnim tekstom korisničkog interfejsa na stranici Sistemski dnevnik i dodao instrukciju za otpremanje sislog root sertifikata prilikom konfigurisanja TLS enkripcije.
08 maja, 2025	Ažurirani zahtevi za virtuelni host, protok zadataka za raspoređivanje hibridnih podataka i instaliranje HDS Host OVA da biste dodali podršku za ESKSi KSNUMKS.
NTPARK 2025 SVA PRAVA ZADRŽANA	Dodao Run HDS Setup alat koristeći Podman Desktop sekciju. Dodata je napomena u Docker Desktop zahtevima koji korisnicima pružaju alternativnu opciju otvorenog koda. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts i promenite konfiguraciju čvora sa uputstvima za korišćenje Podman Desktop za kupce bez Docker Desktop licence.
januar 30, 2025	Dodata je verzija SKL servera 2022 na listu podržanih SKL servera u zahtevima servera baze podataka.
januar 07, 2025	Ažurirani zahtevi za virtuelni host, protok zadataka za raspoređivanje hibridnih podataka i instaliranje HDS Host OVA da biste pokazali novi zahtev ESKSi KSNUMKS.
Oktobar 20, 2023	Ažurirane informacije u zahtevima servera baze podataka. Dodato podešavanje Standbi Data Center za oporavak od katastrofe. Ažurirane informacije u Standbi Data Center za oporavak od katastrofe i oporavak od katastrofe koristeći Standbi Data Center.
07 avgusta, 2023	Dodata napomena u Dovnload Installation Files. Dodata napomena u Kreirajte konfiguraciju ISO za HDS Hosts i promenite konfiguraciju čvora.
23 maja, 2023	Izbrisane informacije iz zahteva servera baze podataka koji zahtevaju funkciju da se omogući kontaktiranjem tima naloga. Ažurirane informacije u zahtevima za eksterno povezivanje i dodane Kanada u tabelu domaćina CI. Dodata je napomena u Očekivanja za raspoređivanje hibridne bezbednosti podataka u vezi sa nedostupnošću mehanizama za pomeranje ključeva nazad u oblak.
06 decembra, 2022	Slike alata za podešavanje HDS-a su sada hostovane u spremištu `ciscocitg` dockerhub-a. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts i promenite teme konfiguracije čvora da se odnose na promene u komandama.
Oktobar 22, 2022	HDS čvorovi sada mogu da koriste Vindovs autentifikaciju protiv Microsoft SKL Servera. Ažurirana je tema Zahtevi servera baze podataka sa dodatnim zahtevima za ovaj režim autentifikacije. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa postupkom za konfigurisanje Vindovs autentifikacije na čvorovima. Ažurirana tema Zahtevi servera baze podataka sa novim minimalnim potrebnim verzijama (PostgreSKL KSNUMKS).
13 oktobra, 2021	Docker Desktop treba da pokrene program za podešavanje pre nego što instalirate HDS čvorove. Pogledajte Docker Desktop Zahtevi.
24 juna, 2021	Napomenuo je da možete ponovo koristiti datoteku privatnog ključa i CSR da biste zatražili još jedan sertifikat. Pogledajte Koristite OpenSSL za generisanje PKCSKSNUMKS datoteke za detalje.
NTPARK 2021 SVA PRAVA ZADRŽANA	Promenjen zahtev VM za lokalni prostor na čvrstom disku na 30 GB. Za detalje pogledajte Zahtevi za virtuelni domaćin.
Februar 22, 2021	HDS Setup Tool sada može da radi iza punomoćnika. Pogledajte Kreiranje konfiguracije ISO za HDS Hosts za detalje.
Februar 21, 2021	HDS sada može da radi bez montirane ISO datoteke. Pogledajte (Opciono) Demontirajte ISO nakon HDS konfiguracije za detalje.
januar 11, 2021	Dodane su informacije o alatu za podešavanje HDS-a i punomoćnicima za kreiranje ISO konfiguracije za HDS Hosts.
13 oktobra, 2020	Ažurirano preuzimanje instalacionih datoteka.
8 oktobra, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS domaćina i promenite konfiguraciju čvora sa komandama za FedRAMP okruženja.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirano Kreirajte konfiguraciju ISO za HDS domaćine i promenite konfiguraciju čvora sa promenama u procesu prijavljivanja.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirano Testirajte hibridnu bezbednost podataka za promene u porukama dnevnika. Ažurirani zahtevi za virtuelni domaćin za uklanjanje maksimalnog broja domaćina.
16 juna, 2020	Ažurirano Ukloni čvor za promene u korisničkom interfejsu Control Hub-a.
4 juna, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts za promene u naprednim podešavanjima koje možete podestiti.
29 maja, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts da biste pokazali da takođe možete koristiti TLS sa SKL Server bazama podataka, promenama korisničkog interfejsa i drugim pojašnjenjima.
5 maja, 2020	Ažurirani su zahtevi za virtuelnim domaćinom kako bi se prikazali novi zahtevi ESKSi KSNUMKS-a.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirani zahtevi za eksterno povezivanje sa novim američkim CI domaćinima.
NTPARK 2020 SVA PRAVA ZADRŽANA	Ažurirani zahtevi za eksterno povezivanje sa informacijama o regionalnim CI domaćinima.
Februar 22, 2020	Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa informacijama o novom opcionom ekranu Napredna podešavanja u HDS Setup Tool.
4 februara, 2020	Ažurirani zahtevi proki servera.
decembar 18, 2019	Razjasnio je zahtev za blokirani režim eksterne rezolucije DNS-a da radi u zahtevima proki servera.
Oktobar 19, 2019	Dodane informacije o blokiranom režimu eksterne rezolucije DNS-a u sledećim odeljcima: Proki podrška Konfigurišite HDS čvor za integraciju proksi Isključite blokirani režim rezolucije eksternog DNS-a
Oktobar 18, 2019	Sada možete konfigurisati mrežna podešavanja za čvor dok primenjujete OVA, a ne kasnije. U skladu sa tim ažurirani su sledeći odeljci: Protok zadataka hibridne bezbednosti podataka Instalirajte HDS Host OVA Podesite VM za hibridnu bezbednost podataka Opcija za konfigurisanje mrežnih postavki tokom primene OVA testirana je sa ESKSi 6.5. Ova opcija možda neće biti dostupna u ranijim verzijama.
septembar 18, 2019	Dodat SKL Server Standard zahtevima servera baze podataka.
NTPARK 2019 SVA PRAVA ZADRŽANA	Dodato Konfigurišite Lignje Proksi za hibridni podaci Securiti dodatak sa uputstvima o konfigurisanju Lignje punomoćnika da ignorišu vebsocket saobraćaj za pravilan rad.
NTPARK 2019 SVA PRAVA ZADRŽANA	Dodani i ažurirani odeljci za pokrivanje podrške proksi za komunikacije čvorova hibridnih podataka na Vebek oblaku. Proki podrška Zahtevi za proki server Konfigurišite HDS čvor za integraciju proksi Da biste pristupili samo sadržaju podrške proksi za postojeću implementaciju, pogledajte Proki podrška za hibridnu sigurnost podataka i Vebek Video Mesh članak pomoći.
13 juna, 2019	Ažurirano suđenje za protok zadataka proizvodnje sa podsetnikom da sinhronizujete `HdsTrialGroup` objekat grupe pre početka suđenja ako vaša organizacija koristi sinhronizaciju direktorijuma.
NTPARK 2019 SVA PRAVA ZADRŽANA	Premešteni zahtevi i preduslovi u posebno poglavlje, Pripremite svoje okruženje. Dodat je pregled protoka zadataka hibridne bezbednosti podataka u poglavlju Postavljanje hibridnog klastera za bezbednost podataka. Primetio sam da dok ne započnete suđenje (koristeći uputstva u narednom poglavlju) vaši čvorovi generišu alarm koji ukazuje na to da vaša usluga još nije aktivirana. Dodano suđenje u tok zadataka proizvodnje u poglavlju Pokreni suđenje i Pređi na proizvodnju.
februar 28, 2019	Ispravljena je količina lokalnog prostora na čvrstom disku po serveru koji treba da izdvojite prilikom pripreme virtuelnih domaćina koji postaju čvorovi hibridne bezbednosti podataka, od KSNUMKS-GB do KSNUMKS-GB, kako bi odražavali veličinu diska koji stvara OVA.
februar 22, 2019	Hibridni čvorovi za bezbednost podataka sada podržavaju šifrovane veze sa PostgreSKL serverima baze podataka i šifrovane veze za evidentiranje sa TLS-sposobnim sislog serverom. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts sa uputstvima. Uklonjeni odredišni URL-ovi iz tabele "Zahtevi za povezivanje sa Internetom za VM-ove hibridnih čvorova za bezbednost podataka". Tabela se sada odnosi na listu koja se održava u tabeli "Dodatni URL-ovi za hibridne usluge Vebek Teams" Mrežni zahtevi za Vebek Teams usluge.
januar 22, 2019	Hibrid Data Securiti sada podržava Microsoft SKL Server kao bazu podataka. SKL Server Always On (Always On Failover Clusters i Always on Availability Groups) podržavaju JDBC drajveri koji se koriste u hibridnoj sigurnosti podataka. Dodan sadržaj koji se odnosi na primenu sa SKL Serverom. Podrška za Microsoft SKL Server namenjena je samo novim primenama hibridne bezbednosti podataka. Trenutno ne podržavamo migraciju podataka sa PostgreSKL-a na Microsoft SKL Server u postojećem raspoređivanju.
Oktobar 18, 2018	Dodan preliminarni korak za čišćenje svih postojećih docker hds instanci u Kreirajte konfiguraciju ISO za HDS hostove i promenite konfiguraciju čvora. Ažuriran je ključni korak nivoa pristupa u Kreirajte konfiguraciju ISO za HDS Hosts da odgovara interfejsu.
19 oktobra, 2018	Podelite informacije o povezivanju zaštitnog zida u zahteve čvorova i zahteve za ISO konfiguraciju u Popunite preduslove za hibridnu bezbednost podataka.
31. jul 2018.	Dodat port 22 (SSH pristup) i informacije o NAT i firevall veze da završi Preduslove za hibridnu bezbednost podataka.
januar 21, 2018	Promenjena terminologija koja odražava rebranding Cisco Spark-a: Cisco Spark Hibrid Data Securiti je sada hibridna sigurnost podataka. Aplikacija Cisco Spark je sada aplikacija Vebek App. Cisco Collaboraton Cloud je sada Vebek oblak.
11 aprila, 2018	Dodao pripravnosti Data Center za oporavak od katastrofe. Ažurirano Popunite preduslove za hibridnu sigurnost podataka kako biste odredili da rezervno okruženje treba da bude u drugom centru za podatke. Ažurirano Disaster Recoveri koristeći Standbi Data Center.
22. februar, 2018	Dodate informacije o lozinkom servisnog naloga 9 meseci životnog veka i korišćenjem HDS Setup alat za resetovanje lozinki servisnog naloga, u Kreiranje konfiguracije ISO za HDS Hosts i promenite konfiguraciju čvora.
15. februar, 2018	U tabeli Ks.509 Zahtevi za sertifikat, navedeno je da sertifikat ne može biti džoker sertifikat, i da KMS koristi CN domen, a ne bilo koji domen koji je definisan u k.509v3 SAN poljima.
januar 18, 2018	Dodao dodatak, Saobraćaj između HDS čvorova i oblaka. Uklonjen rešen problem iz poznatih problema za hibridnu bezbednost podataka. Promenjen index.docker.io u .docker.io i dodat .cloudfront.net na listu zahteva TCP povezivanja za HDS čvorove u Popunite preduslove za hibridnu bezbednost podataka. Ažurirano Kreirajte konfiguraciju ISO za HDS Hosts da ukaže da ako domaćin baze podataka i Sislogd server nisu DNS-resolvable iz HDS čvorova, morate ih konfigurisati koristeći IP adrese.
2 novembra, 2017	Razjašnjena sinhronizacija direktorijuma na HdsTrialGroup. Fiksni uputstva za otpremanje ISO konfiguracione datoteke za montažu na VM čvorova.
18. avgust, 2017	Prvi put objavljeno

Počnite sa hibridnom sigurnošću podataka

Pregled hibridne bezbednosti podataka

Arhitektura bezbednosnog područja

Arhitektura oblaka Vebek razdvaja različite vrste usluga u odvojene domene ili domene poverenja, kao što je prikazano u nastavku.

U ovom dijagramu, klijent je Vebek aplikacija koja radi na laptopu korisnika i autentificirana je sa uslugom identiteta. Kada korisnik sastavi poruku za slanje u prostor, odvijaju se sledeći koraci:

Klijent uspostavlja sigurnu vezu sa uslugom za upravljanje ključevima (KMS), a zatim traži ključ za šifrovanje poruke. Sigurna veza koristi ECDH, a KMS šifrira ključ pomoću AES-256 glavnog ključa.
Poruka je šifrovana pre nego što napusti klijenta. Klijent ga šalje na uslugu indeksiranja, koja stvara šifrovane indekse pretrage kako bi pomogla u budućim pretragama sadržaja.
Šifrovana poruka se šalje službi za usklađenost radi provjere usklađenosti.
Šifrovana poruka se čuva u domenu skladištenja.

Saradnja sa drugim organizacijama

Očekivanja za primenu hibridne bezbednosti podataka

Hibridna bezbednost podataka zahteva značajnu posvećenost kupaca i svest o rizicima koji dolaze sa posedovanjem ključeva za šifrovanje.

Da biste primenili hibridnu bezbednost podataka, morate obezbediti:

Siguran centar za podatke u zemlji koja je podržana lokacija za planove Cisco Vebek Teams-a.
Oprema, softver i pristup mreži opisani u Zahtevi za hibridnu bezbednost podataka.

Upravljajte rezervne kopije i oporavak baze podataka i konfiguracije ISO.
Budite spremni da izvršite brzi oporavak od katastrofe ako dođe do katastrofe, kao što je kvar diska baze podataka ili katastrofa data centra.

Ne postoji mehanizam za pomeranje ključeva nazad u oblak nakon raspoređivanja HDS-a.

Proces podešavanja na visokom nivou

Ovaj dokument pokriva podešavanje i upravljanje hibridnom sigurnosnom implementacijom podataka:

Podesite hibridnu bezbednost podataka – ovo uključuje pripremu potrebne infrastrukture i instaliranje softvera za hibridnu bezbednost podataka, testiranje vaše primene sa podskupom korisnika u probnom režimu i, kada se testiranje završi, prelazak na proizvodnju. Ovo pretvara celu organizaciju da koristi vaš hibridni klaster za bezbednost podataka za bezbednosne funkcije.
Faze podešavanja, suđenja i proizvodnje detaljno su obrađene u naredna tri poglavlja.
Održavajte svoju hibridnu bezbednost podataka - Vebek oblak automatski obezbeđuje tekuće nadogradnje. Vaše IT odeljenje može pružiti podršku za ovu implementaciju i angažovati Cisco podršku po potrebi. Možete koristiti obaveštenja na ekranu i podesiti upozorenja zasnovana na e-pošti u Control Hub-u.
Razumevanje uobičajenih upozorenja, koraka za rešavanje problema i poznatih problema – Ako naiđete na probleme sa primenom ili korišćenjem hibridne bezbednosti podataka, poslednje poglavlje ovog vodiča i dodatak Poznati problemi mogu vam pomoći da utvrdite i rešite problem.

Model hibridne bezbednosti podataka

Model hibridne bezbednosti podataka

Čvorovi postaju aktivni kada ih registrujete u Control Hub-u. Da biste uzeli pojedinačni čvor iz službe, možete ga odjaviti, a kasnije ga ponovo registrovati ako je potrebno.

Podržavamo samo jedan klaster po organizaciji.

Hibridni probni režim bezbednosti podataka

Standbi data centar za oporavak od katastrofe

Tokom primene, postavite siguran centar za podatke u stanju pripravnosti. U slučaju katastrofe data centra, možete ručno da prebacite raspoređivanje u rezervni centar za podatke.

Aktivni čvorovi hibridne bezbednosti podataka moraju uvek biti u istom centru za podatke kao i aktivni server baze podataka.

Podešavanje standbi data centra za oporavak od katastrofe

Pratite korake u nastavku da biste konfigurisali ISO datoteku rezervnog data centra:

Pre nego što počnete

Standbi data centar treba da odražava proizvodno okruženje VM-ova i rezervnu PostgreSKL ili Microsoft SKL Server bazu podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a. (Vidi Standbi Data Center za oporavak od katastrofe za pregled ovog modela za preklapanje.)
Uverite se da je sinhronizacija baze podataka omogućena između baze podataka aktivnih i pasivnih čvorova klastera.

1	Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts. ISO datoteka mora biti kopija originalne ISO datoteke primarnog data centra na koji će se izvršiti sledeća ažuriranja konfiguracije.
2	Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja
3	Na stranici Napredna podešavanja dodajte konfiguraciju ispod da biste čvor postavili u pasivni režim. U ovom režimu čvor će biti registrovan u organizaciji i povezan sa oblakom, ali neće rukovati nikakav saobraćaj. `passiveMode: 'true'`
4	Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.
5	Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.
6	U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..
7	Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl. Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.
8	Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.
9	Ponovite postupak za svaki čvor u rezervnom data centru. Proverite sislogove da biste proverili da li su čvorovi u pasivnom režimu. Trebalo bi da budete u mogućnosti da vidite poruku "KMS konfigurisan u pasivnom režimu" u sislogs.

Šta dalje

Proki podrška

Hibridni čvorovi za bezbednost podataka podržavaju sledeće opcije proki:

Nema prokoxy—Podrazumevano ako ne koristite podešavanje HDS čvora Trust Store & Proxy konfiguraciju za integraciju proxyja. Nije potrebno ažuriranje sertifikata.
Transparentan proki koji ne pregledava—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera i ne bi trebalo da zahtevaju nikakve promene za rad sa proksi koji ne pregledava. Nije potrebno ažuriranje sertifikata.
Transparentno tuneliranje ili inspekcija proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proksi servera. Na čvorovima nisu potrebne promene HTTP ili HTTPS konfiguracije. Međutim, čvorovima je potreban root sertifikat tako da veruju proki. Inspekcija punomoćnika se obično koristi od strane IT da sprovede politike o kojima sajtovi mogu da se posećuju i koje vrste sadržaja nisu dozvoljene. Ova vrsta proksi dešifruje sav vaš saobraćaj (čak i HTTPS).
Eksplicitni proki—Sa eksplicitnim proxyjem, kažete HDS čvorovima koji proxy server i šemu autentifikacije da koriste. Da biste konfigurisali eksplicitni proki, morate uneti sledeće informacije na svakom čvoru:
1. Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine.
2. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja.
3. Proki protokol—U zavisnosti od toga šta vaš proki server podržava, izaberite između sledećih protokola:
  - HTTP – Pregledava i kontroliše sve zahteve koje klijent šalje.
  - HTTPS—Obezbeđuje kanal za server. Klijent prima i potvrđuje sertifikat servera.
4. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije:
  - Nijedan—Dodatna autentifikacija nije potrebna.
    
    Dostupno ako izaberete HTTP ili HTTPS kao proki protokol.
  - Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje.
    
    Dostupno ako izaberete HTTP ili HTTPS kao proki protokol.
    
    Zahteva od vas da unesete korisničko ime i lozinku na svakom čvoru.
  - Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.
    
    Dostupno samo ako izaberete HTTPS kao proki protokol.
    
    Zahteva od vas da unesete korisničko ime i lozinku na svakom čvoru.

Primer hibridnih čvorova za bezbednost podataka i proksi

Blokiran Eksterni režim rezolucije DNS (eksplicitne konfiguracije proki)

Pripremite svoje okruženje

Zahtevi za hibridnu bezbednost podataka

Zahtevi za licencu Cisco Vebek

Da biste primenili hibridnu bezbednost podataka:

Morate imati Pro Pack za Cisco Vebek Control Hub. (Vidi https://www.cisco.com/go/pro-pack.)

Docker Desktop Zahtevi

Ks.KSNUMKS Zahtevi za sertifikat

Lanac sertifikata mora da ispunjava sledeće uslove:

Tabela 1. Ks.KSNUMKS Zahtevi za sertifikat za hibridnu bezbednost podataka
Uslov	Detalji
Potpisan od strane pouzdanog autoriteta za sertifikate (CA)	Po defaultu, verujemo ЦA na Mozilla listi (sa izuzetkom VoSign i StartЦom) na .https://wiki.mozilla.org/CA:IncludedCAs
Nosi ime domena sa zajedničkim imenom (CN) koje identifikuje vašu hibridnu bezbednost podataka Nije džoker sertifikat	CN ne mora biti dostupan ili živi domaćin. Preporučujemo da koristite ime koje odražava vašu organizaciju, na primer, `hds.company.com`. CN ne sme da sadrži * (džoker). CN se koristi za verifikaciju hibridnih čvorova za bezbednost podataka klijentima Vebek App-a. Svi čvorovi hibridne bezbednosti podataka u vašem klasteru koriste isti sertifikat. Vaš KMS se identifikuje koristeći CN domen, a ne bilo koji domen koji je definisan u k.KSNUMKSvKSNUMKS SAN poljima. Kada registrujete čvor sa ovim sertifikatom, ne podržavamo promenu imena CN domena. Izaberite domen koji se može primeniti i na probne i na proizvodne primene.
Potpis koji nije SHA1	KMS softver ne podržava SHA1 potpise za validaciju veza sa KMS-ovima drugih organizacija.
Formatiran kao PKCS #12 fajl zaštićen lozinkom Koristite prijateljsko ime `kms-private-key` da označite sertifikat, privatni ključ i sve srednje sertifikate za otpremanje.	Možete koristiti konvertor kao što je OpenSSL da biste promenili format sertifikata. Moraćete da unesete lozinku kada pokrenete HDS Setup Tool.

Zahtevi za virtuelni domaćin

Virtuelni domaćini koje ćete postaviti kao čvorove hibridne sigurnosti podataka u vašem klasteru imaju sledeće zahteve:

Najmanje dva odvojena domaćina (KSNUMKS preporučeno) nalaze se u istom sigurnom centru za podatke
VMvare ESKSi 7.0 ili 8.0 instaliran i pokrenut.

Morate nadograditi ako imate raniju verziju ESKSi.
Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, KSNUMKS-GB lokalni prostor na čvrstom disku po serveru

Zahtevi za server baze podataka

Kreirajte novu bazu podataka za skladištenje ključeva. Ne koristite podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.

Postoje dve opcije za server baze podataka. Zahtevi za svaku su sledeći:

Tabela 2. Zahtevi servera baze podataka prema vrsti baze podataka
Preuzmite	Microsoft SKL Server
PostgreSKL 14, 15 ili 16, instaliran i pokrenut.	Instaliran SKL Server 2016, 2017, 2019 ili 2022 (Enterprise ili Standard). SKL Server KSNUMKS zahteva servisni paket KSNUMKS i kumulativno ažuriranje KSNUMKS ili kasnije.
Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)	Minimalni KSNUMKS vCPU, KSNUMKS-GB glavna memorija, dovoljno prostora na čvrstom disku i nadgledanje kako bi se osiguralo da nije prekoračen (KSNUMKS-TB preporučuje se ako želite da pokrenete bazu podataka duže vreme bez potrebe za povećanjem skladištenja)

HDS softver trenutno instalira sledeće verzije upravljačkih programa za komunikaciju sa serverom baze podataka:

Preuzmite	Microsoft SKL Server
Postgres JDBC vozač 42.2.5	SKL Server JDBC drajver 4.6 Ova verzija upravljačkog programa podržava SKL Server Always On ( Always On Failover Cluster Instances i Always On grupe dostupnosti).

Preuzmite

Microsoft SKL Server

Postgres JDBC vozač 42.2.5

SKL Server JDBC drajver 4.6

Ova verzija upravljačkog programa podržava SKL Server Always On ( Always On Failover Cluster Instances i Always On grupe dostupnosti).

Dodatni zahtevi za Vindovs autentifikaciju protiv Microsoft SKL Servera

HDS čvorovi, Active Directori infrastruktura i MS SKL Server moraju biti sinhronizovani sa NTP-om.
Vindovs nalog koji pružate HDS čvorovima mora imati pristup za čitanje / pisanje baze podataka.
DNS serveri koje pružate HDS čvorovima moraju biti u stanju da reše vaš ključni distributivni centar (KDC).
Možete registrovati instancu HDS baze podataka na vašem Microsoft SKL Serveru kao glavno ime usluge (SPN) na vašem Active Directori-u. Pogledajte Registrujte glavno ime usluge za Kerberos veze.

Alat za podešavanje HDS-a, HDS lanser i lokalni KMS svi moraju da koriste Vindovs autentifikaciju za pristup bazi podataka keistore-a. Oni koriste detalje iz vaše ISO konfiguracije da konstruišu SPN kada traže pristup sa Kerberos autentifikacijom.

Zahtevi za eksterno povezivanje

Konfigurišite zaštitni zid da omogući sledeće povezivanje za HDS aplikacije:

Aplikacija	Protokol	Port	Pravac iz aplikacije	Odredište
Hibridni čvorovi za bezbednost podataka	TCP	443	Odlazni HTTPS i VSS	Vebek serveri: .wbx2.com .ciscospark.com Svi domaćini zajedničkog identiteta Ostali URL-ovi koji su navedeni za hibridnu sigurnost podataka u tabeli dodatnih URL-ova za Vebek hibridne usluge Mrežni zahtevi za Vebek usluge
Alat za podešavanje HDS-a	TCP	443	Odlazni HTTPS	*.wbx2.com Svi domaćini zajedničkog identiteta hub.docker.com

URL-ovi za domaćine zajedničkog identiteta (CI) su specifični za region. Ovo su trenutni CI domaćini:

Region	Uobičajeni URL-ovi hosta identiteta
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Ujedinjeni Arapski Emirati	https://idbroker-ae.webex.com https://identity-ae.webex.com

Zahtevi za proki server

Zvanično podržavamo sledeća proki rešenja koja se mogu integrisati sa vašim čvorovima za hibridnu bezbednost podataka.
- Transparent proxy—Cisco Web Security Appliance (WSA).
- Eksplicitni punomoćnik — Lignja.
  
  Lignje punomoćnici koji pregledavaju HTTPS saobraćaj može ometati uspostavljanje vebsocket (vss:) veze. Da biste zaobišli ovaj problem, pogledajte Konfigurisanje Squid Proksies za hibridnu sigurnost podataka.
Podržavamo sledeće kombinacije tipova autentifikacije za eksplicitne punomoćnike:
- Nema autentifikacije sa HTTP ili HTTPS
- Osnovna autentifikacija sa HTTP ili HTTPS
- Digest autentifikacija samo sa HTTPS-om
Za transparentnu inspekciju proki ili HTTPS eksplicitni proki, morate imati kopiju root sertifikata proki. Uputstva za raspoređivanje u ovom vodiču vam govore kako da otpremite kopiju u prodavnice poverenja Hibrid Data Securiti čvorova.
Mreža koja hostuje HDS čvorove mora biti konfigurisana tako da prisili odlazni TCP saobraćaj na portu 443 za rutu preko proki.
Punomoćnici koji pregledavaju veb saobraćaj mogu ometati veze sa veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne inspekciju) saobraćaj i wbx2.comciscospark.com da će rešiti problem.

Popunite preduslove za hibridnu sigurnost podataka

Koristite ovu kontrolnu listu da biste bili sigurni da ste spremni da instalirate i konfigurišete klaster hibridne bezbednosti podataka.

1	Uverite se da je vaša Vebek organizacija omogućena za Pro Pack za Cisco Vebek Control Hub i nabavite akreditive naloga sa punim administratorskim pravima organizacije. Obratite se svom Cisco partneru ili menadžeru naloga za pomoć u ovom procesu.
2	Izaberite ime domena za vašu raspoređivanje HDS-a (na primer, `hds.company.com`) i dobijte lanac sertifikata koji sadrži Ks.KSNUMKS sertifikat, privatni ključ i sve srednje sertifikate. Lanac sertifikata mora ispunjavati uslove u Ks.KSNUMKS zahtevima za sertifikat.
3	Pripremite identične virtuelne hostove koje ćete postaviti kao čvorove hibridne bezbednosti podataka u vašem klasteru. Potrebna su vam najmanje dva odvojena domaćina (preporučuje se KSNUMKS) koji se nalaze u istom sigurnom data centru, koji ispunjavaju zahteve u zahtevima virtuelnog domaćina.
4	Pripremite server baze podataka koji će delovati kao ključno skladište podataka za klaster, u skladu sa zahtevima servera baze podataka. Server baze podataka mora biti smješten u sigurnom centru za podatke sa virtuelnim domaćinima. Kreirajte bazu podataka za skladištenje ključeva. (Morate da kreirate ovu bazu podataka—nemojte koristiti podrazumevanu bazu podataka. HDS aplikacije, kada su instalirane, kreiraju šemu baze podataka.) Prikupite detalje koje će čvorovi koristiti za komunikaciju sa serverom baze podataka: ime domaćina ili IP adresa (domaćin) i port Ime baze podataka (dbname) za skladištenje ključeva Korisničko ime i lozinka korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva
5	Za brzi oporavak od katastrofe, podesite rezervno okruženje u drugom data centru. Rezervno okruženje odražava proizvodno okruženje VM-a i rezervni server baze podataka. Na primer, ako proizvodnja ima 3 VM-a koji pokreću HDS čvorove, rezervno okruženje treba da ima 3 VM-a.
6	Podesite sislog host za prikupljanje dnevnika iz čvorova u klasteru. Okupite svoju mrežnu adresu i sislog port (podrazumevano je UDP 514).
7	Kreirajte sigurnu politiku rezervne kopije za čvorove hibridne bezbednosti podataka, server baze podataka i sislog host. U najmanju ruku, da biste sprečili nepovratni gubitak podataka, morate napraviti rezervnu kopiju baze podataka i konfiguracijsku ISO datoteku generisanu za čvorove hibridne bezbednosti podataka. Budući da čvorovi hibridne bezbednosti podataka čuvaju ključeve koji se koriste u enkripciji i dešifrovanju sadržaja, neuspeh u održavanju operativnog raspoređivanja će rezultirati NEPOVRATNIM GUBITKOM tog sadržaja. Klijenti Vebek App-a keširaju svoje ključeve, tako da prekid možda neće biti odmah primetan, ali će vremenom postati očigledan. Iako je privremene prekide nemoguće sprečiti, oni se mogu nadoknaditi. Međutim, potpuni gubitak (nema rezervnih kopija) bilo baze podataka ili konfiguracije ISO datoteke će rezultirati nepovratnim podacima o klijentima. Od operatera čvorova hibridne bezbednosti podataka se očekuje da održavaju česte rezervne kopije baze podataka i konfiguracije ISO datoteke, i da budu spremni da obnove hibridni centar podataka bezbednosti podataka ako dođe do katastrofalnog kvara.
8	Uverite se da vaša konfiguracija zaštitnog zida omogućava povezivanje za vaše čvorove hibridne bezbednosti podataka kao što je navedeno u zahtevima za eksterno povezivanje.
9	Instalirajte Docker ( https://www.docker.com) na bilo kojoj lokalnoj mašini koja pokreće podržani operativni sistem (Microsoft Vindovs 10 Professional ili Enterprise 64-bit, ili Mac OSKS Iosemite 10.10.3 ili noviji) sa veb pretraživačem koji može da mu pristupi na http://127.0.0.1:8080. Koristite Docker instancu da biste preuzeli i pokrenuli HDS Setup Tool, koji gradi informacije o lokalnoj konfiguraciji za sve čvorove hibridne bezbednosti podataka. Vašoj organizaciji će možda biti potrebna licenca za Docker Desktop. Pogledajte Docker Desktop Zahtevi za više informacija. Da biste instalirali i pokrenuli HDS Setup Tool, lokalna mašina mora imati povezivanje navedeno u zahtevima za eksterno povezivanje.
10	Ako integrišete proki sa hibridnom sigurnošću podataka, uverite se da ispunjava zahteve proki servera.
11	Ako vaša organizacija koristi sinhronizaciju direktorijuma, kreirajte grupu u Active Directori pod nazivom `HdsTrialGroup`, i dodajte pilot korisnike. Probna grupa može imati do 250 korisnika. Objekat `HdsTrialGroup` mora biti sinhronizovan sa oblakom pre nego što započnete probnu verziju za vašu organizaciju. Da biste sinhronizovali objekat grupe, izaberite ga u meniju Konfiguracija > Izbor objekta konektora direktorijuma. (Za detaljna uputstva pogledajte Vodič za raspoređivanje Cisco Directori Connector.) Ključeve za određeni prostor postavlja kreator prostora. Prilikom odabira pilot korisnika, imajte na umu da ako odlučite da trajno deaktivirate hibridnu bezbednost podataka, svi korisnici gube pristup sadržaju u prostorima koje su kreirali pilot korisnici. Gubitak postaje očigledan čim aplikacije korisnika osveže svoje keširane kopije sadržaja.

Podesite hibridni klaster za bezbednost podataka

Protok zadataka hibridne bezbednosti podataka

Pre nego što počnete

1	Preuzmite instalacione datoteke Preuzmite OVA datoteku na lokalnu mašinu za kasniju upotrebu.
2	Kreirajte konfiguraciju ISO za HDS Hosts Koristite alat za podešavanje HDS-a da biste kreirali ISO konfiguracionu datoteku za čvorove hibridne bezbednosti podataka.
3	Instalirajte HDS Host OVA Kreirajte virtuelnu mašinu iz OVA datoteke i izvršite početnu konfiguraciju, kao što su mrežne postavke. Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.
4	Podesite VM za hibridnu bezbednost podataka Prijavite se na VM konzolu i podesite akreditive za prijavljivanje. Konfigurišite mrežne postavke za čvor ako ih niste konfigurisali u vreme primene OVA.
5	Otpremite i montirajte HDS konfiguraciju ISO Konfigurišite VM iz ISO konfiguracione datoteke koju ste kreirali pomoću HDS Setup Tool-a.
6	Konfigurišite HDS čvor za integraciju proksi Ako mrežno okruženje zahteva konfiguraciju proki, navedite vrstu proki koji ćete koristiti za čvor, i dodajte proki sertifikat u prodavnicu poverenja ako je potrebno.
7	Registrujte prvi čvor u klasteru Registrujte VM sa Cisco Vebek oblakom kao čvor za hibridnu sigurnost podataka.
8	Kreirajte i registrujte više čvorova Završite podešavanje klastera.
9	Dok ne započnete suđenje, vaši čvorovi generišu alarm koji ukazuje na to da vaša usluga još nije aktivirana.

Preuzmite instalacione datoteke

U ovom zadatku preuzimate OVA datoteku na vašu mašinu (ne na servere koje ste postavili kao čvorove hibridne bezbednosti podataka). Koristite ovaj fajl kasnije u procesu instalacije.

1	Prijavite se na https://admin.webex.com, a zatim kliknite na dugme Usluge.
2	U odeljku Hibridne usluge pronađite karticu Hibrid Data Securiti, a zatim kliknite na dugme Postavi. Ako je kartica onemogućena ili je ne vidite, obratite se timu za naloge ili partnerskoj organizaciji. Dajte im svoj broj računa i zatražite da omogućite svoju organizaciju za hibridnu sigurnost podataka. Da biste pronašli broj naloga, kliknite na zupčanik u gornjem desnom uglu, pored imena vaše organizacije. Takođe možete preuzeti OVA u bilo kom trenutku iz odeljka Pomoć na stranici Podešavanja. Na kartici Hibrid Data Securiti kliknite na dugme Edit settings da biste otvorili stranicu. Zatim kliknite na dugme Preuzmi softver za hibridnu bezbednost podataka u odeljku Pomoć . Starije verzije softverskog paketa (OVA) neće biti kompatibilne sa najnovijim nadogradnjama hibridne bezbednosti podataka. To može dovesti do problema prilikom nadogradnje aplikacije. Proverite da li ste preuzeli najnoviju verziju OVA datoteke.
3	Izaberite Ne da biste označili da još niste postavili čvor, a zatim kliknite na dugme Dalje. OVA datoteka automatski počinje da se preuzima. Sačuvajte datoteku na lokaciji na vašem računaru.
4	Opciono, kliknite na dugme Otvori Vodič za raspoređivanje da biste proverili da li postoji kasnija verzija ovog vodiča.

Kreirajte konfiguraciju ISO za HDS Hosts

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

Pre nego što počnete

Alat za podešavanje HDS-a radi kao Docker kontejner na lokalnoj mašini. Da biste mu pristupili, pokrenite Docker na toj mašini. Proces podešavanja zahteva akreditive naloga Control Hub-a sa punim administratorskim pravima za vašu organizaciju.

Ako nemate dozvolu za Docker Desktop, možete koristiti Podman Desktop da biste pokrenuli alat za podešavanje HDS-a za korake KSNUMKS do KSNUMKS u postupku ispod. Pogledajte Pokreni HDS Setup alat koristeći Podman Desktop za detalje.

Ako alat za podešavanje HDS-a radi iza proki-a u vašem okruženju, obezbedite postavke proksi (server, port, akreditive) kroz Docker varijable okruženja kada podignete Docker kontejner u koraku KSNUMKS. Ova tabela daje neke moguće promenljive okruženja:

Opis

Promenljiva

HTTP proksi bez autentifikacije

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS proki bez autentifikacije

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP proki sa autentifikacijom

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS proki sa autentifikacijom

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:
- Akreditivi baze podataka
- Ažuriranje sertifikata
- Izmene u politici ovlašćenja
Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

U komandnoj liniji vaše mašine, unesite odgovarajuću komandu za vaše okruženje:

U redovnim okruženjima:

docker rmi ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ovaj korak čisti prethodne slike alata za podešavanje HDS-a. Ako nema prethodnih slika, vraća grešku koju možete ignorisati.

Da biste se prijavili u registar slika Docker-a, unesite sledeće:

docker login -u hdscustomersro

Na upit za lozinku, unesite ovaj hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Preuzmite najnoviju stabilnu sliku za vaše okruženje:

U redovnim okruženjima:

docker pull ciscocitg/hds-setup:stable

U FedRAMP okruženjima:

docker pull ciscocitg/hds-setup-fedramp:stable

Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje:

U redovnim okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

U redovnim okruženjima sa HTTP proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U redovnim okruženjima sa HTTPS proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

U FedRAMP okruženjima bez punomoćnika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima sa HTTP proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

U FedRAMP okruženjima sa HTTPS proki:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kada se kontejner pokreće, vidite "Ekpress server sluša na portu 8080."

Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost.

Koristite veb pretraživač da biste otišli na localhost, http://127.0.0.1:8080i unesite korisničko ime administratora korisnika za Control Hub na prompt.

Alat koristi ovaj prvi unos korisničkog imena da bi postavio odgovarajuće okruženje za taj nalog. Alat zatim prikazuje standardni upit za prijavljivanje.

Na stranici pregleda alata za podešavanje kliknite na dugme Početak.

Na stranici ISO Import imate ove opcije:

Ne—Ako kreirate svoj prvi HDS čvor, nemate ISO fajl za otpremanje.
Da—Ako ste već kreirali HDS čvorove, onda izaberete svoj ISO fajl u pretraživanju i otpremite ga.

Proverite da li vaš Ks.KSNUMKS sertifikat ispunjava uslove u Ks.KSNUMKS zahtevima za sertifikat.

Ako nikada ranije niste otpremili sertifikat, otpremite Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.
Ako je vaš sertifikat u redu, kliknite na dugme Nastavi.
Ako je vaš sertifikat istekao ili želite da ga zamenite, izaberite Ne za Nastavite da koristite lanac sertifikata HDS i privatni ključ iz prethodnog ISO?. Otpremite novi Ks.509 sertifikat, unesite lozinku i kliknite na dugme Nastavi.

Unesite adresu baze podataka i račun za HDS da biste pristupili ključnom skladištu podataka:

Izaberite tip baze podataka (PostgreSKL ili Microsoft SKL Server).

Ako izaberete Microsoft SKL Server, dobićete polje Authentication Tipe.
(Samo Microsoft SKL Server ) Izaberite svoj tip autentifikacije:
- Osnovna autentifikacija: Potrebno vam je ime lokalnog SKL Server naloga u polju Korisničko ime .
- Autentifikacija prozora: Potreban vam je Vindovs nalog u formatu username@DOMAIN u polju Korisničko ime .
Unesite adresu servera baze podataka u obliku : ili :.

Primer:
dbhost.example.org:1433 ili 198.51.100.17:1433

Možete koristiti IP adresu za osnovnu autentifikaciju, ako čvorovi ne mogu da koriste DNS za rešavanje imena hosta.

Ako koristite Vindovs autentifikaciju, morate da unesete potpuno kvalifikovano ime domena u formatu dbhost.example.org:1433
Unesite ime baze podataka.
Unesite korisničko ime i lozinku korisnika sa svim privilegijama na bazi podataka za skladištenje ključeva.

Izaberite režim povezivanja TLS baze podataka:

Režim	Opis
Preferirajte TLS (podrazumevana opcija)	HDS čvorovi ne zahtevaju TLS za povezivanje sa serverom baze podataka. Ako omogućite TLS na serveru baze podataka, čvorovi pokušavaju šifrovanu vezu.
Zahtevajte TLS	HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS.
Zahtevajte TLS i potvrdite potpisnika sertifikata	Ovaj režim nije primenljiv za SKL Server baze podataka. HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS. Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne poklapaju, čvor ispušta vezu. Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili root sertifikat za ovu opciju.
Zahtevajte TLS i potvrdite potpisnika sertifikata i ime hosta	HDS čvorovi se povezuju samo ako server baze podataka može da pregovara TLS. Nakon uspostavljanja TLS veze, čvor upoređuje potpisnika sertifikata sa servera baze podataka sa autoritetom za sertifikate u korenskom sertifikatu baze podataka. Ako se ne poklapaju, čvor ispušta vezu. Čvorovi takođe potvrđuju da li se ime hosta u sertifikatu servera podudara sa imenom hosta u polju Host i port baze podataka. Imena se moraju tačno poklapati, ili čvor ispušta vezu. Koristite kontrolu korenskog sertifikata baze podataka ispod padajućeg menija da biste otpremili root sertifikat za ovu opciju.

Na stranici Sistemski dnevnik konfigurišite svoj Sislogd server:

Unesite URL sislog servera.

Ako server nije DNS-rešiv iz čvorova za vaš HDS klaster, koristite IP adresu u URL-u.

Primer:
udp://10.92.43.23:514 označava prijavljivanje na Sislogd host 10.92.43.23 na UDP portu 514.
Ako podesite svoj server da koristi TLS enkripciju, proverite Da li je vaš server konfigurisan za TLS pregovaranje / rukovanje?

Ako označite ovo polje za potvrdu, proverite da li ste uneli TCP URL kao što je tcp://10.92.43.23:514, i otpremite sislog root sertifikat.
Iz padajućeg menija Izaberite sislog zapis o prestanku , izaberite odgovarajuću postavku za vašu ISO datoteku: Izaberite ili Nevline se koristi za Graylog i Rsyslog TCP
- Null bajt -- \x00
- Newline -- \n—Izaberite ovaj izbor za Graylog i Rsyslog TCP.
Kliknite na dugme Nastavi.

(Opciono) Možete promeniti podrazumevanu vrednost za neke parametre veze sa bazom podataka u Naprednim podešavanjima. Generalno, ovaj parametar je jedini koji biste možda želeli da promenite:

app_datasource_connection_pool_maxSize: 10

Kliknite na dugme Nastavi na ekranu za resetovanje lozinke servisnih naloga.

Lozinke servisnog računa imaju životni vek od devet meseci. Koristite ovaj ekran kada se vaše lozinke približavaju isteku ili želite da ih resetujete da biste poništili prethodne ISO datoteke.

Kliknite na dugme Preuzmi ISO datoteku. Sačuvajte datoteku na lokaciji koju je lako pronaći.

Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu.

Da biste isključili alat za podešavanje, upišite CTRL+C.

Šta dalje

Nikada nemamo kopiju ovog ključa i ne možemo pomoći ako ga izgubite.

Instalirajte HDS Host OVA

Koristite ovu proceduru da biste kreirali virtuelnu mašinu iz OVA datoteke.

1	Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host.
2	Izaberite File > Deploy OVF Template.
3	U čarobnjaku navedite lokaciju OVA datoteke koju ste ranije preuzeli, a zatim kliknite na dugme Dalje.
4	Na stranici Izaberite ime i fasciklu unesite ime virtuelne mašine za čvor (na primer, "HDS_Node_1"), izaberite lokaciju na kojoj se može nalaziti raspoređivanje čvora virtuelne mašine, a zatim kliknite na dugme Dalje.
5	Na stranici Izaberite računarski resurs izaberite odredišni računarski resurs, a zatim kliknite na dugme Sledeći. Provera validacije radi. Nakon završetka, pojavljuju se detalji šablona.
6	Proverite detalje šablona, a zatim kliknite na dugme Sledeći.
7	Ako se od vas traži da izaberete konfiguraciju resursa na stranici Konfiguracija, kliknite na 4 CPU, a zatim kliknite na dugme Dalje.
8	Na stranici Izaberi skladište kliknite na dugme Dalje da biste prihvatili podrazumevani format diska i politiku skladištenja VM-a.
9	Na stranici Izaberite mreže izaberite mrežnu opciju sa liste unosa da biste obezbedili željenu povezanost sa VM-om.
10	Na stranici Prilagodi šablon konfigurišite sledeća mrežna podešavanja: Ime hosta—Unesite FQDN (ime hosta i domen) ili ime hosta sa jednom rečju za čvor. Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata. Da biste osigurali uspešnu registraciju u oblaku, koristite samo mala slova u FKDN-u ili ime domaćina koje ste postavili za čvor. Velika slova nisu podržana u ovom trenutku. Ukupna dužina FKDN-a ne sme biti veća od 64 znakova. IP adresa— Unesite IP adresu za interni interfejs čvora. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan. Mask—Unesite adresu maske podmreže u tačka-decimalni zapis. Na primer, 255.255.255.0. Gateway—Unesite IP adresu gateway-a. Gatevai je mrežni čvor koji služi kao pristupna tačka drugoj mreži. DNS serveri – Unesite listu DNS servera odvojenih zarezima, koji se bave prevođenjem imena domena u numeričke IP adrese. (Dozvoljeno je do 4 DNS unosa.) NTP serveri – unesite NTP server vaše organizacije ili neki drugi eksterni NTP server koji se može koristiti u vašoj organizaciji. Podrazumevani NTP serveri možda neće raditi za sva preduzeća. Takođe možete koristiti listu razdvojenu zarezom da unesete više NTP servera. Rasporedite sve čvorove na istoj podmreži ili VLAN-u, tako da su svi čvorovi u klasteru dostupni od klijenata u vašoj mreži u administrativne svrhe. Ako želite, možete preskočiti konfiguraciju podešavanja mreže i sledite korake u Podesite VM hibridne bezbednosti podataka da biste konfigurisali postavke sa konzole čvora. Opcija za konfigurisanje mrežnih postavki tokom OVA raspoređivanja je testirana sa ESKSi 7.0 i 8.0. Ova opcija možda neće biti dostupna u ranijim verzijama.
11	Kliknite desnim tasterom miša na čvor VM, a zatim izaberite Pover > Power On. Softver za hibridnu sigurnost podataka instaliran je kao gost na VM Host-u. Sada ste spremni da se prijavite na konzolu i konfigurišete čvor. Saveti za rešavanje problema Možda ćete doživeti kašnjenje od nekoliko minuta pre nego što se pojave kontejneri čvorova. Poruka zaštitnog zida mosta se pojavljuje na konzoli tokom prvog pokretanja, tokom koje ne možete da se prijavite.

Podesite VM za hibridnu bezbednost podataka

1	U VMvare vSphere klijentu izaberite svoj VM čvor za sigurnost hibridnih podataka i izaberite karticu Konzola . VM se pokreće i pojavljuje se upit za prijavljivanje. Ako se poziv za prijavljivanje ne prikaže, pritisnite Enter.
2	Koristite sledeće podrazumevano korisničko ime i lozinku da biste se prijavili i promenili akreditive: Prijavljivanje: `admin` Lozinka: `cisco` Pošto se prvi put prijavljujete na svoj VM, od vas se traži da promenite lozinku administratora.
3	Ako ste već konfigurisali mrežne postavke u Install the HDS Host OVA, preskočite ostatak ove procedure. U suprotnom, u glavnom meniju izaberite opciju Edit Configuration .
4	Podesite statičku konfiguraciju sa IP adresom, maskom, gatevai-om i DNS informacijama. Vaš čvor treba da ima internu IP adresu i DNS ime. DHCP nije podržan.
5	(Opciono) Promenite ime hosta, domen ili NTP server(e), ako je potrebno da odgovara vašoj mrežnoj politici. Ne morate da podesite domen tako da odgovara domenu koji ste koristili za dobijanje Ks.KSNUMKS sertifikata.
6	Sačuvajte mrežnu konfiguraciju i ponovo pokrenite VM tako da promene stupe na snagu.

Otpremite i montirajte HDS konfiguraciju ISO

Koristite ovu proceduru da podesite virtuelnu mašinu iz ISO datoteke koju ste kreirali pomoću HDS Setup Tool.

Pre nego što počnete

Otpremite ISO datoteku sa računara:

U levom oknu za navigaciju VMvare vSphere klijenta kliknite na ESKSi server.
Na listi hardvera na kartici Konfiguracija, kliknite na Skladištenje.
Na listi Datastores, kliknite desnim tasterom miša na skladište podataka za vaše VM-ove i kliknite na Pregledaj Datastore.
Kliknite na ikonu Otpremi datoteke, a zatim kliknite na dugme Otpremi datoteku.
Pregledajte lokaciju na kojoj ste preuzeli ISO datoteku na računaru i kliknite na dugme Otvori.
Kliknite na Da da prihvatite upozorenje o otpremanju/preuzimanju operacije, i zatvorite dijalog skladišta podataka.

Montirajte ISO datoteku:

U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja.
Kliknite OK da prihvatite upozorenje o ograničenim opcijama uređivanja.
Kliknite na , CD/DVD Drive 1izaberite opciju za montiranje iz ISO datoteke skladišta podataka i pregledajte lokaciju na kojoj ste postavili ISO datoteku konfiguracije.
Proverite Connected i Connect na napajanje.
Sačuvajte promene i ponovo pokrenite virtuelnu mašinu.

Šta dalje

Konfigurišite HDS čvor za integraciju proksi

Pre nego što počnete

Pogledajte Proki Podrška za pregled podržanih opcija proki.
Zahtevi za proki server

1	Unesite URL za `https://[HDS Node IP or FQDN]/setup` podešavanje HDS čvora u veb pretraživaču, unesite administratorske akreditive koje ste postavili za čvor, a zatim kliknite na dugme Prijavite se.
2	Idite na Trust Store & Proki, a zatim izaberite opciju: Nema proxy—Podrazumevana opcija pre nego što integrišete proxy. Nije potrebno ažuriranje sertifikata. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Nije potrebno ažuriranje sertifikata. Transparent Inspecting Proxy—Čvorovi nisu konfigurisani da koriste određenu adresu proki servera. Nisu potrebne promene konfiguracije HTTPS-a na implementaciji hibridne bezbednosti podataka, međutim, HDS čvorovima je potreban root sertifikat tako da veruju punomoćniku. Inspekcija punomoćnika se obično koristi od strane IT da sprovede politike o kojima sajtovi mogu da se posećuju i koje vrste sadržaja nisu dozvoljene. Ova vrsta proksi dešifruje sav vaš saobraćaj (čak i HTTPS). Eksplicitni proki—Sa eksplicitnim proxyjem, kažete klijentu (HDS čvorovima) koji proksi server da koristi, a ova opcija podržava nekoliko tipova autentifikacije. Nakon što izaberete ovu opciju, morate uneti sledeće informacije: Proxy IP/FQDN – Adresa koja se može koristiti za dolazak do proksi mašine. Proki Port—Broj porta koji proksi koristi za slušanje proksi saobraćaja. Proxy Protocol—Izaberite http (pregleda i kontroliše sve zahteve koji su primljeni od klijenta) ili https (obezbeđuje kanal do servera i klijent prima i potvrđuje sertifikat servera). Izaberite opciju na osnovu onoga što vaš proki server podržava. Authentication Type—Izaberite jedan od sledećih tipova autentifikacije: Nijedan—Dodatna autentifikacija nije potrebna. Dostupno za HTTP ili HTTPS punomoćnike. Osnovno—Koristi se za HTTP korisničkog agenta da obezbedi korisničko ime i lozinku prilikom pravljenja zahteva. Koristi Base64 kodiranje. Dostupno za HTTP ili HTTPS punomoćnike. Ako izaberete ovu opciju, morate uneti i korisničko ime i lozinku. Digest—Koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže. Dostupno samo za HTTPS punomoćnike. Ako izaberete ovu opciju, morate uneti i korisničko ime i lozinku. Pratite sledeće korake za transparentni proki za inspekciju, HTTP eksplicitni proki sa osnovnom autentifikacijom ili HTTPS eksplicitni proki.
3	Kliknite na dugme Otpremite korenski sertifikat ili sertifikat krajnjeg entiteta, a zatim idite na a izaberite root sertifikat za proki. Sertifikat je otpremljen, ali još nije instaliran jer morate ponovo pokrenuti čvor da biste instalirali sertifikat. Kliknite na strelicu ševrona pored imena izdavača sertifikata da biste dobili više detalja ili kliknite na dugme Delete ako ste napravili grešku i želite da ponovo otpremite datoteku.
4	Kliknite na Proveri Proki vezu da testirate mrežnu povezanost između čvora i proki. Ako test veze ne uspe, videćete poruku o grešci koja pokazuje razlog i kako možete da ispravite problem. Ako vidite poruku koja kaže da spoljna rezolucija DNS-a nije bila uspešna, čvor nije mogao da dođe do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim konfiguracijama proki. Možete nastaviti sa podešavanjem, a čvor će funkcionisati u režimu blokirane eksterne DNS rezolucije. Ako mislite da je ovo greška, završite ove korake, a zatim pogledajte Isključite blokirani režim rezolucije spoljnog DNS-a.
5	Nakon što prođe test veze, za eksplicitni proki podešen samo na https, uključite prekidač na Route all port 443/444 https zahteve iz ovog čvora preko eksplicitnog proki. Ova postavka zahteva 15 sekundi da stupi na snagu.
6	Kliknite na dugme Instaliraj sve sertifikate u prodavnicu poverenja (pojavljuje se za HTTPS eksplicitni proki ili transparentni proki) ili Reboot (pojavljuje se za HTTP eksplicitni proki), pročitajte upit, a zatim kliknite na dugme Install ako ste spremni. Čvor se ponovo pokreće u roku od nekoliko minuta.
7	Nakon što se čvor ponovo pokrene, prijavite se ponovo ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere povezivanja kako biste bili sigurni da su svi u zelenom statusu. Provera proki veze testira samo poddomen webex.com. Ako postoje problemi sa povezivanjem, uobičajeno pitanje je da su neki od domena oblaka navedenih u uputstvima za instalaciju blokirani na punomoćniku.

Registrujte prvi čvor u klasteru

Ovaj zadatak uzima generički čvor koji ste kreirali u podešavanju VM-a za hibridnu sigurnost podataka, registruje čvor sa Vebek oblakom i pretvara ga u čvor hibridne sigurnosti podataka.

Kada registrujete svoj prvi čvor, kreirate klaster na koji je čvor dodeljen. Klaster sadrži jedan ili više čvorova raspoređenih da obezbede redundantnost.

Pre nego što počnete

Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.
Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	Iz menija na levoj strani ekrana izaberite Usluge.
3	U odeljku Hibridne usluge pronađite Hibrid Data Securiti i kliknite na dugme Postavi. Pojavljuje se stranica Registrujte hibridni čvor za bezbednost podataka.
4	Izaberite Da da da biste označili da ste postavili čvor i da ste spremni da ga registrujete, a zatim kliknite na dugme Sledeći.
5	U prvo polje unesite ime klastera na koji želite da dodelite svoj čvor Hibrid Data Securiti. Preporučujemo da imenujete klaster na osnovu toga gde se čvorovi klastera nalaze geografski. Primeri: "San Francisko" ili "Njujork" ili "Dalas"
6	U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Sledeći. Ova IP adresa ili FKDN treba da odgovara IP adresi ili imenu hosta i domenu koji ste koristili u Podešavanje VM-a za hibridnu bezbednost podataka. Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor na Vebek.
7	Kliknite na dugme Idi na čvor.
8	Kliknite na dugme Nastavi u poruci upozorenja. Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj Vebek organizaciji za pristup vašem čvoru.
9	Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi. Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku.
10	Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Control Hub Hibrid Data Securiti. Na stranici Hibridna bezbednost podataka prikazuje se novi klaster koji sadrži čvor koji ste registrovali. Čvor će automatski preuzeti najnoviji softver iz oblaka.

Kreirajte i registrujte više čvorova

Pre nego što počnete

Kada počnete registraciju čvora, morate ga završiti u roku od 60 minuta ili morate početi ispočetka.
Uverite se da su svi blokatori iskačućih prozora u vašem pretraživaču onemogućeni ili da dozvolite izuzetak za admin.webex.com.

1	Kreirajte novu virtuelnu mašinu iz OVA, ponavljajući korake u Instalirajte HDS Host OVA.
2	Podesite početnu konfiguraciju na novom VM-u, ponavljajući korake u Podesite VM hibridne bezbednosti podataka.
3	Na novom VM-u, ponovite korake u Otpremite i montirajte HDS konfiguraciju ISO.
4	Ako postavljate proki za vašu raspoređivanje, ponovite korake u Konfigurišite HDS čvor za integraciju proki po potrebi za novi čvor.
5	Registrujte čvor. U https://admin.webex.com, izaberite Usluge iz menija na levoj strani ekrana. U odeljku Hibridne usluge pronađite karticu Hibrid Data Securiti i kliknite na Resursi. Pojavljuje se stranica Hibridni resursi za bezbednost podataka. Kliknite na Dodaj resurs. U prvom polju izaberite ime postojećeg klastera. U drugom polju unesite internu IP adresu ili potpuno kvalifikovano ime domena (FKDN) vašeg čvora i kliknite na dugme Sledeći. Pojavljuje se poruka koja pokazuje da možete da registrujete svoj čvor u Vebek oblaku. Kliknite na dugme Idi na čvor. Nakon nekoliko trenutaka, preusmereni ste na testove povezivanja čvorova za Vebek usluge. Ako su svi testovi uspešni, pojavljuje se stranica Dozvoli pristup hibridnom čvoru za bezbednost podataka. Tamo potvrđujete da želite da date dozvole vašoj organizaciji za pristup vašem čvoru. Označite polje za potvrdu Dozvoli pristup vašem hibridnom čvoru za bezbednost podataka, a zatim kliknite na dugme Nastavi. Vaš nalog je potvrđen i poruka "Registracija završena" označava da je vaš čvor sada registrovan u Vebek oblaku. Kliknite na link ili zatvorite karticu da biste se vratili na stranicu Control Hub Hibrid Data Securiti. Vaš čvor je registrovan. Imajte na umu da dok ne započnete suđenje, vaši čvorovi generišu alarm koji pokazuje da vaša usluga još nije aktivirana.

Šta dalje

Pokrenite suđenje i pređite na proizvodnju (sledeće poglavlje)

Pokrenite suđenje i pređite na proizvodnju

Suđenje za protok zadataka proizvodnje

Pre nego što počnete

Podesite hibridni klaster za bezbednost podataka

1	Ako je primenljivo, sinhronizujte objekat grupe `HdsTrialGroup` . Ako vaša organizacija koristi sinhronizaciju direktorijuma za korisnike, morate da izaberete `HdsTrialGroup` objekat grupe za sinhronizaciju sa oblakom pre nego što započnete probnu verziju. Za instrukcije pogledajte Vodič za raspoređivanje Cisco Directori Connector.
2	Aktivirajte probnu verziju Započnite suđenje. Dok ne uradite ovaj zadatak, vaši čvorovi generišu alarm koji ukazuje da usluga još nije aktivirana.
3	Testirajte svoju hibridnu bezbednost podataka Proverite da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.
4	Nadgledajte hibridno zdravlje bezbednosti podataka Proverite status i podesite obaveštenja putem e-pošte za alarme.
5	Dodajte ili uklonite korisnike iz probne verzije
6	Završite probnu fazu sa jednom od sledećih radnji: Pređite sa suđenja na proizvodnju Završite suđenje bez prelaska na proizvodnju

Aktivirajte probnu verziju

Pre nego što počnete

1	Prijavite se na https://admin.webex.com, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Status usluge kliknite na dugme Pokreni probnu verziju. Status usluge se menja u probni režim.
4	Kliknite na Dodaj korisnike i unesite adresu e-pošte jednog ili više korisnika za pilot koristeći svoje Hibrid Data Securiti čvorove za šifrovanje i indeksiranje usluga. (Ako vaša organizacija koristi sinhronizaciju direktorijuma, koristite Active Directori za upravljanje probnom grupom, `HdsTrialGroup`.)

Testirajte svoju hibridnu bezbednost podataka

Koristite ovu proceduru da biste testirali scenarije šifrovanja hibridne bezbednosti podataka.

Pre nego što počnete

Podesite svoju hibridnu bezbednost podataka.
Aktivirajte suđenje i dodajte nekoliko probnih korisnika.
Uverite se da imate pristup sislog-u da biste proverili da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.

Ako deaktivirate hibridnu bezbednost podataka, sadržaj u prostorima koje pilot korisnici kreiraju više nije dostupan kada se zamene kopije ključeva za šifrovanje koje se nalaze u klijentu.

Šaljite poruke u novi prostor.

Proverite izlaz sislog-a da biste proverili da li ključni zahtevi prolaze na vašu hibridnu bezbednost podataka.

Da biste proverili da li je korisnik prvo uspostavio siguran kanal za KMS, filtrirajte i kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

Trebalo bi da pronađete unos kao što je sledeći (identifikatori skraćeni radi čitljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Da biste proverili da li korisnik traži postojeći ključ iz KMS-a, filtrirajte kms.data.method=retrieve i kms.data.type=KEY:

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Da biste proverili da li je korisnik zatražio kreiranje novog KMS ključa, filtrirajte kms.data.method=create i kms.data.type=KEY_COLLECTION:

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Trebalo bi da pronađete unos kao što su:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Nadgledajte hibridno zdravlje bezbednosti podataka

1	U Control Hub-u izaberite Usluge iz menija na levoj strani ekrana.
2	U odeljku Hibridne usluge pronađite Hibrid Data Securiti i kliknite na dugme Settings. Pojavljuje se stranica Podešavanja hibridne bezbednosti podataka.
3	U odeljku Obaveštenja e-pošte upišite jednu ili više adresa e-pošte odvojenih zarezima i pritisnite Enter.

Dodajte ili uklonite korisnike iz probne verzije

Nakon što aktivirate probnu verziju i dodate početni skup probnih korisnika, možete dodati ili ukloniti probne članove u bilo kom trenutku dok je probno razdoblje aktivno.

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Probni režim u oblasti Status usluge kliknite na dugme Dodaj korisnike ili kliknite na prikaz i uređivanje da biste uklonili korisnike iz probne verzije.
4	Unesite adresu e-pošte jednog ili više korisnika koje želite dodati, ili kliknite na Ks pomoću korisničkog ID-a da biste uklonili korisnika iz probnog perioda. Zatim kliknite na dugme Sačuvaj.

Pređite sa suđenja na proizvodnju

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Status usluge kliknite na dugme Premesti u proizvodnju.
4	Potvrdite da želite da premestite sve svoje korisnike u proizvodnju.

Završite suđenje bez prelaska na proizvodnju

1	Prijavite se u Control Hub, a zatim izaberite Usluge.
2	U odjeljku Hibridna sigurnost podataka kliknite na dugme Podešavanja.
3	U odeljku Deaktiviraj kliknite na dugme Deaktiviraj.
4	Potvrdite da želite da deaktivirate uslugu i završite suđenje.

Upravljajte svojim HDS raspoređivanjem

Upravljajte HDS raspoređivanjem

Koristite zadatke opisane ovde da biste upravljali primenom hibridne bezbednosti podataka.

Podesite raspored nadogradnje klastera

Da biste podesili raspored nadogradnje:

1	Prijavite se na Control Hub.
2	Na stranici Pregled, u odjeljku Hibridne usluge, izaberite Hibridna sigurnost podataka.
3	Na stranici Hibridni resursi za bezbednost podataka izaberite klaster.
4	Na panelu Pregled na desnoj strani, pod Podešavanja klastera, izaberite ime klastera.
5	Na stranici Podešavanja, pod Nadogradnja, izaberite vreme i vremensku zonu za raspored nadogradnje. Napomena: Ispod vremenske zone prikazuje se sledeći dostupni datum i vreme nadogradnje. Nadogradnju možete odložiti za sledeći dan, ako je potrebno, klikom na dugme Odloži.

Promenite konfiguraciju čvora

Povremeno ćete možda morati da promenite konfiguraciju vašeg hibridnog čvora za bezbednost podataka iz razloga kao što su:

Promena k.KSNUMKS sertifikata zbog isteka ili drugih razloga.

Ne podržavamo promenu imena CN domena sertifikata. Domen mora odgovarati originalnom domenu koji se koristi za registraciju klastera.
Ažuriranje postavki baze podataka za promenu u repliku baze podataka PostgreSKL ili Microsoft SKL Server.

Ne podržavamo migraciju podataka iz PostgreSKL-a na Microsoft SKL Server ili na suprotan način. Da biste prebacili okruženje baze podataka, započnite novu raspoređivanje hibridne bezbednosti podataka.
Kreiranje nove konfiguracije za pripremu novog data centra.

Soft reset—I stara i nova lozinka rade do 10 dana. Koristite ovaj period da postepeno zamenite ISO datoteku na čvorovima.
Hard reset—Stare lozinke odmah prestaju da rade.

Ako vaše lozinke isteknu bez resetovanja, to utiče na vaš HDS servis, zahtevajući hitnu hard reset i zamenu ISO datoteke na svim čvorovima.

Koristite ovu proceduru da biste generisali novu konfiguraciju ISO datoteku i primenite je na vaš klaster.

Pre nego što počnete

Opis	Promenljiva
HTTP proksi bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proki bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proki sa autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proki sa autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Potrebna vam je kopija trenutne konfiguracije ISO datoteke da biste generisali novu konfiguraciju. ISO sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potreban vam je ISO kada pravite promene konfiguracije, uključujući akreditive baze podataka, ažuriranja sertifikata ili promene u politici autorizacije.

1	Koristeći Docker na lokalnoj mašini, pokrenite HDS Setup Tool. U komandnoj liniji vaše mašine, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima: `docker rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne slike alata za podešavanje HDS-a. Ako nema prethodnih slika, vraća grešku koju možete ignorisati. Da biste se prijavili u registar slika Docker-a, unesite sledeće: `docker login -u hdscustomersro` Na upit za lozinku, unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Preuzmite najnoviju stabilnu sliku za vaše okruženje: U redovnim okruženjima: `docker pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `docker pull ciscocitg/hds-setup-fedramp:stable` Uverite se da povučete najnoviji alat za podešavanje za ovu proceduru. Verzije alata kreirane pre 22. februara 2018. godine nemaju ekrane za resetovanje lozinke. Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTP proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTPSproki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez punomoćnika: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTP proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTPS proki: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada se kontejner pokreće, vidite "Ekpress server sluša na portu 8080." Koristite pretraživač da biste se povezali sa localhost-om, `http://127.0.0.1:8080`. Alat za podešavanje ne podržava povezivanje sa localhost-om preko http://localhost:8080. Koristi http://127.0.0.1:8080 se za povezivanje sa localhost. Kada se to od vas zatraži, unesite akreditive za prijavljivanje korisnika Control Hub-a, a zatim kliknite na dugme Prihvati da biste nastavili. Uvezite trenutnu konfiguraciju ISO datoteku. Pratite uputstva da biste dovršili alat i preuzeli ažuriranu datoteku. Da biste isključili alat za podešavanje, upišite `CTRL+C`. Kreirajte rezervnu kopiju ažurirane datoteke u drugom data centru.
2	Ako imate samo jedan HDS čvor koji radi, kreirajte novi VM čvor za bezbednost hibridnih podataka i registrujte ga pomoću nove konfiguracije ISO datoteke. Za detaljnija uputstva, pogledajte Kreirajte i registrujte više čvorova. Instalirajte HDS host OVA. Podesite HDS VM. Montirajte ažuriranu konfiguracionu datoteku. Registrujte novi čvor u Control Hub-u.
3	Za postojeće HDS čvorove koji pokreću stariju konfiguracionu datoteku, montirajte ISO datoteku. Izvršite sledeću proceduru na svakom čvoru zauzvrat, ažurirajući svaki čvor pre isključivanja sledećeg čvora: Isključite virtuelnu mašinu. U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Uredi podešavanja. Kliknite `CD/DVD Drive 1`, izaberite opciju za montiranje iz ISO datoteke, i pregledajte lokaciju na kojoj ste preuzeli novu konfiguraciju ISO datoteku. Proverite Povežite se pri uključivanju. Sačuvajte promene i napajanje na virtuelnoj mašini.
4	Ponovite korak KSNUMKS da biste zamenili konfiguraciju na svakom preostalom čvoru koji pokreće staru konfiguraciju.

Isključite blokirani režim rezolucije eksternog DNS-a

Ako su vaši čvorovi u stanju da reše javna DNS imena preko internih DNS servera, možete isključiti ovaj režim ponovnim pokretanjem testa proki veze na svakom čvoru.

Pre nego što počnete

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da vaši čvorovi mogu da komuniciraju sa njima.

1	U veb pretraživaču otvorite interfejs čvora Hibrid Data Securiti (IP adresa / podešavanje, na primer, https://192.0.2.0/setup), unesite administratorske akreditive koje ste postavili za čvor, a zatim kliknite na dugme Prijavite se.
2	Idi na Pregled (podrazumevana stranica). Kada je omogućeno, blokirana eksterna rezolucija DNS-a je postavljena na Da.
3	Idite na stranicu Trust Store & Proki .
4	Kliknite na Proverite proki vezu. Ako vidite poruku koja kaže da spoljna rezolucija DNS-a nije bila uspešna, čvor nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, nakon što ponovo pokrenete čvor i vratite se na stranicu Pregled , blokirana eksterna DNS rezolucija treba da bude podešena na ne.

Šta dalje

Ponovite test proki veze na svakom čvoru u vašem klasteru hibridne bezbednosti podataka.

Ukloni čvor

Koristite VMvare vSphere klijent na računaru da biste se prijavili na ESKSi virtuelni host i isključili virtuelnu mašinu.

Uklonite čvor:

Prijavite se u Control Hub, a zatim izaberite Usluge.
Na kartici Hibridna bezbednost podataka kliknite na dugme Pogledaj sve da biste prikazali stranicu Hibridni resursi za bezbednost podataka.
Izaberite svoj klaster da biste prikazali panel Pregled.
Kliknite na dugme Otvori listu čvorova.
Na kartici Čvorovi, izaberite čvor koji želite da uklonite.
Kliknite na Akcije > Odjavi čvor.

U vSphere klijentu izbrišite VM. (U levom oknu za navigaciju, kliknite desnim tasterom miša na VM i kliknite Izbriši.)

Ako ne izbrišete VM, ne zaboravite da demontirate konfiguracijsku ISO datoteku. Bez ISO datoteke, ne možete koristiti VM za pristup vašim sigurnosnim podacima.

Oporavak od katastrofe koristeći Standbi Data Center

Ako katastrofa uzrokuje da raspoređivanje HDS-a u primarnom centru za podatke postane nedostupno, pratite ovu proceduru da biste ručno prebacili u rezervni centar za podatke.

1	Pokrenite alat za podešavanje HDS-a i pratite korake navedene u Kreiranje konfiguracije ISO za HDS Hosts.
2	Nakon konfigurisanja Sislogd servera, kliknite na Napredna podešavanja
3	Na stranici Napredna podešavanja , dodajte konfiguraciju ispod ili uklonite konfiguraciju `passiveMode` da bi čvor bio aktivan. Čvor može da upravlja saobraćajem kada je ovo konfigurisano. `passiveMode: 'false'`
4	Završite proces konfiguracije i sačuvajte ISO datoteku na lokaciji koju je lako pronaći.
5	Napravite rezervnu kopiju ISO datoteke na vašem lokalnom sistemu. Čuvajte rezervnu kopiju na sigurnom. Ovaj fajl sadrži glavni ključ za šifrovanje za sadržaj baze podataka. Ograničite pristup samo onim administratorima hibridne bezbednosti podataka koji bi trebalo da promene konfiguracije.
6	U levom oknu za navigaciju VMvare vSphere klijenta, kliknite desnim tasterom miša na VM i kliknite na Edit Settings..
7	Kliknite na dugme Edit Settings >CD/DVD Drive 1 i izaberite Datastore ISO fajl. Uverite se da su Connected i Connect pri uključivanju provereni tako da ažurirane promene konfiguracije mogu stupiti na snagu nakon pokretanja čvorova.
8	Uključite HDS čvor i uverite se da nema alarma najmanje 15 minuta.
9	Ponovite postupak za svaki čvor u rezervnom data centru. Proverite izlaz sislog-a da biste proverili da li čvorovi rezervnog data centra nisu u pasivnom režimu. "KMS konfigurisan u pasivnom režimu" ne bi trebalo da se pojavi u sislogs.

Šta dalje

(Opciono) Demontirajte ISO nakon HDS konfiguracije

Pre nego što počnete

Nadogradite sve svoje HDS čvorove na verziju 2025.06.02.6983 ili noviju.

1	Isključite jedan od vaših HDS čvorova.
2	U vCenter Server Appliance-u izaberite HDS čvor.
3	Izaberite Edit Settings > CD / DVD uređaj i isključite Datastore ISO datoteku.
4	Uključite HDS čvor i osigurajte da nema alarma najmanje 20 minuta.
5	Ponovite za svaki HDS čvor redom.

Rešavanje problema sa hibridnom sigurnošću podataka

Pogledaj upozorenja i rešavanje problema

Novi prostori ne mogu biti kreirani (ne mogu da kreiraju nove ključeve)
Poruke i prostorni naslovi ne uspevaju da dešifruju za:
- Novi korisnici dodat u prostor (ne mogu da dohvate ključeve)
- Postojeći korisnici u prostoru koji koriste novog klijenta (ne mogu da dohvate ključeve)
Postojeći korisnici u prostoru će nastaviti da rade uspešno sve dok njihovi klijenti imaju keš ključeva za šifrovanje

Važno je da pravilno pratite svoj hibridni klaster bezbednosti podataka i odmah se bavite svim upozorenjima kako biste izbegli prekid usluge.

Upozorenja

Tabela 1. Uobičajena pitanja i koraci za njihovo rešavanje
Upozorenje	Radnja
Neuspeh pristupa lokalnoj bazi podataka.	Proverite greške u bazi podataka ili probleme sa lokalnom mrežom.
Neuspeh veze sa lokalnom bazom podataka.	Proverite da li je server baze podataka dostupan, a u konfiguraciji čvora korišćeni su pravi akreditivi servisnog naloga.
Neuspeh pristupa Cloud servisu.	Proverite da li čvorovi mogu pristupiti Vebek serverima kao što je navedeno u Zahtevima za eksterno povezivanje.
Obnavljanje registracije usluga u oblaku.	Registracija za cloud usluge je odbačena. Obnova registracije je u toku.
Registracija Cloud servisa je pala.	Registracija za cloud usluge prestala. Usluga se gasi.
Servis još nije aktiviran.	Aktivirajte probnu verziju ili završite premeštanje suđenja u proizvodnju.
Konfigurisani domen ne odgovara sertifikatu servera.	Uverite se da sertifikat vašeg servera odgovara konfigurisanom domenu za aktivaciju usluge. Najverovatniji uzrok je da je sertifikat CN nedavno promenjen i sada se razlikuje od CN-a koji je korišćen tokom početnog podešavanja.
Nije uspelo da se autentifikuje u cloud uslugama.	Proverite tačnost i mogući istek akreditiva servisnog računa.
Failed to open local kestores file.	Proverite integritet i tačnost lozinke na lokalnom keistore fajlu.
Sertifikat lokalnog servera je nevažeći.	Proverite datum isteka sertifikata servera i potvrdite da ga je izdao pouzdani autoritet za sertifikate.
Nije moguće objaviti metriku.	Proverite pristup lokalnoj mreži spoljnim uslugama u oblaku.
/media/configdrive/hds direktorijum ne postoji.	Proverite konfiguraciju ISO montiranja na virtuelnom hostu. Proverite da li ISO datoteka postoji, da li je konfigurisana za montiranje prilikom ponovnog pokretanja i da li se uspešno montira.

Rešavanje problema sa hibridnom sigurnošću podataka

Koristite sledeće opšte smernice kada rešavate probleme sa hibridnim bezbednošću podataka.

1	Pregledajte Control Hub za bilo kakva upozorenja i popravite sve stavke koje tamo pronađete.
2	Pregledajte izlaz sislog servera za aktivnost iz primene hibridne bezbednosti podataka.
3	Kontaktirajte Cisco podršku.

Ostale beleške

Poznati problemi za hibridnu bezbednost podataka

Ako isključite klaster hibridne bezbednosti podataka (brisanjem u kontrolnom čvorištu ili isključivanjem svih čvorova), izgubite konfiguracijsku ISO datoteku ili izgubite pristup bazi podataka za ključeve, korisnici vaše Vebek aplikacije više ne mogu da koriste prostore pod svojom listom ljudi koji su kreirani pomoću ključeva iz vašeg KMS-a. Ovo se odnosi i na probne i proizvodne primene. Trenutno nemamo zaobilazno rešenje ili popravku za ovaj problem i pozivamo vas da ne isključujete svoje HDS usluge kada se bave aktivnim korisničkim nalozima.
Klijent koji ima postojeću ECDH vezu sa KMS-om održava tu vezu u određenom vremenskom periodu (verovatno jedan sat). Kada korisnik postane član suđenja hibridne bezbednosti podataka, korisnikov klijent nastavlja da koristi postojeću ECDH vezu dok ne istekne. Alternativno, korisnik se može odjaviti i vratiti u aplikaciju Vebek App kako bi ažurirao lokaciju koju aplikacija kontaktira za ključeve za šifrovanje.

Isto ponašanje se dešava kada premestite suđenje u proizvodnju za organizaciju. Svi korisnici koji nisu probni sa postojećim ECDH vezama sa prethodnim službama za bezbednost podataka nastaviće da koriste te usluge sve dok se ponovo ne pregovara o ECDH vezi (putem vremenskog ograničenja ili odjavom i ponovnim upisom).

Pokreni HDS Setup alat koristeći Podman Desktop

Opis	Promenljiva
HTTP proksi bez autentifikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proki bez autentifikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proki sa autentifikacijom	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proki sa autentifikacijom	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguraciona ISO datoteka koju generišete sadrži glavni ključ koji šifrira bazu podataka PostgreSKL ili Microsoft SKL Server. Potrebna vam je najnovija kopija ovog fajla svaki put kada napravite izmene konfiguracije, kao što su ove:
- Akreditivi baze podataka
- Ažuriranje sertifikata
- Izmene u politici ovlašćenja
Ako planirate da šifrujete veze sa bazom podataka, podesite svoj PostgreSKL ili SKL Server za TLS.

Proces podešavanja hibridne bezbednosti podataka kreira ISO datoteku. Zatim koristite ISO da biste konfigurisali svoj hibridni domaćin za bezbednost podataka.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Šta dalje

Pratite preostale korake u Kreiranje konfiguracije ISO za HDS hostove ili Promenite konfiguraciju čvora da biste kreirali ili promenili ISO konfiguraciju.

Koristite OpenSSL da biste generisali PKCSKSNUMKS datoteku

Pre nego što počnete

OpenSSL je jedan alat koji se može koristiti za izradu PKCSKSNUMKS datoteke u odgovarajućem formatu za učitavanje u HDS Setup Tool. Postoje i drugi načini da se to uradi, a mi ne podržavamo ili promovišemo jedan način u odnosu na drugi.
Ako odlučite da koristite OpenSSL, pružamo ovu proceduru kao smernicu koja će vam pomoći da kreirate datoteku koja ispunjava zahteve Ks.KSNUMKS sertifikata u Ks.KSNUMKS zahtevima za sertifikat. Shvatite te zahteve pre nego što nastavite.
Instalirajte OpenSSL u podržanom okruženju. Pogledajte https://www.openssl.org softver i dokumentaciju.
Kreirajte privatni ključ.
Započnite ovu proceduru kada primite sertifikat servera od vašeg autoriteta za sertifikate (CA).

1	Kada primite sertifikat servera od vašeg CA, sačuvajte ga kao `hdsnode.pem`.
2	Prikažite sertifikat kao tekst i proverite detalje. `openssl x509 -text -noout -in hdsnode.pem`
3	Koristite uređivač teksta da biste kreirali datoteku paketa sertifikata pod nazivom `hdsnode-bundle.pem`. Datoteka paketa mora da sadrži sertifikat servera, sve intermediate CA sertifikate i root CA sertifikate, u sledećem formatu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Kreirajte .p12 datoteku sa prijateljskim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Proverite detalje sertifikata servera. `openssl pkcs12 -in hdsnode.p12` Unesite lozinku na upit za šifrovanje privatnog ključa, tako da je naveden u izlazu. Zatim, proverite da li privatni ključ i prvi sertifikat uključuju linije `friendlyName: kms-private-key`. Primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Šta dalje

Vratite se da biste ispunili preduslove za hibridnu sigurnost podataka. Koristićete datoteku hdsnode.p12 i lozinku koju ste postavili za nju u Kreirajte konfiguraciju ISO za HDS hostove.

Možete ponovo koristiti ove fajlove da zatražite novi sertifikat kada originalni sertifikat istekne.

Saobraćaj između HDS čvorova i oblaka

Saobraćaj za prikupljanje odlaznih metrika

Dolazni saobraćaj

Čvorovi hibridne bezbednosti podataka dobijaju sledeće vrste dolaznog saobraćaja iz Vebek oblaka:

Zahtevi za šifrovanje od klijenata, koji su usmereni od strane servisa za šifrovanje
Nadogradnje softvera čvora

Konfigurišite Squid Prokies za hibridnu sigurnost podataka

Vebsocket ne može da se poveže preko lignji proki

Lignje 4 i 5

Dodajte direktivu on_unsupported_protocol u:squid.conf

on_unsupported_protocol tunnel all

Srpski, English, Français...

Uspešno smo testirali hibridnu bezbednost podataka sa sledećim pravilima koja su dodana u squid.conf. Ova pravila su podložna promenama kako razvijamo funkcije i ažuriramo Vebek oblak.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

1	U komandnoj liniji vaše mašine, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima: `podman rmi ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `podman rmi ciscocitg/hds-setup-fedramp:stable` Ovaj korak čisti prethodne slike alata za podešavanje HDS-a. Ako nema prethodnih slika, vraća grešku koju možete ignorisati.
2	Da biste se prijavili u registar slika Docker-a, unesite sledeće: `podman login docker.io -u hdscustomersro`
3	Na upit za lozinku, unesite ovaj hash: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Preuzmite najnoviju stabilnu sliku za vaše okruženje: U redovnim okruženjima: `podman pull ciscocitg/hds-setup:stable` U FedRAMP okruženjima: `podman pull ciscocitg/hds-setup-fedramp:stable`
5	Kada se povlačenje završi, unesite odgovarajuću komandu za vaše okruženje: U redovnim okruženjima bez punomoćnika: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTP proki: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U redovnim okruženjima sa HTTPS proki: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` U FedRAMP okruženjima bez punomoćnika: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTP proki: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` U FedRAMP okruženjima sa HTTPS proki: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Kada se kontejner pokreće, vidite "Ekpress server sluša na portu 8080."

Cisco AI Assistant

Hvala na povratnim informacijama.

Vodič za raspoređivanje za Vebek hibridnu sigurnost podataka

Predgovor

Nove i izmenjene informacije

Počnite sa hibridnom sigurnošću podataka

Pregled hibridne bezbednosti podataka

Arhitektura bezbednosnog područja

Saradnja sa drugim organizacijama

Očekivanja za primenu hibridne bezbednosti podataka

Proces podešavanja na visokom nivou

Model hibridne bezbednosti podataka

Hibridni probni režim bezbednosti podataka

Standbi data centar za oporavak od katastrofe

Podešavanje standbi data centra za oporavak od katastrofe

Proki podrška

Primer hibridnih čvorova za bezbednost podataka i proksi

Blokiran Eksterni režim rezolucije DNS (eksplicitne konfiguracije proki)

Pripremite svoje okruženje

Zahtevi za hibridnu bezbednost podataka

Zahtevi za licencu Cisco Vebek

Docker Desktop Zahtevi

Ks.KSNUMKS Zahtevi za sertifikat

Zahtevi za virtuelni domaćin

Zahtevi za server baze podataka

Dodatni zahtevi za Vindovs autentifikaciju protiv Microsoft SKL Servera

Zahtevi za eksterno povezivanje

Zahtevi za proki server

Popunite preduslove za hibridnu sigurnost podataka

Podesite hibridni klaster za bezbednost podataka

Protok zadataka hibridne bezbednosti podataka

Preuzmite instalacione datoteke

Kreirajte konfiguraciju ISO za HDS Hosts

Instalirajte HDS Host OVA

Podesite VM za hibridnu bezbednost podataka

Otpremite i montirajte HDS konfiguraciju ISO

Konfigurišite HDS čvor za integraciju proksi

Registrujte prvi čvor u klasteru

Kreirajte i registrujte više čvorova

Pokrenite suđenje i pređite na proizvodnju

Suđenje za protok zadataka proizvodnje

Aktivirajte probnu verziju

Testirajte svoju hibridnu bezbednost podataka

Nadgledajte hibridno zdravlje bezbednosti podataka

Dodajte ili uklonite korisnike iz probne verzije

Pređite sa suđenja na proizvodnju

Završite suđenje bez prelaska na proizvodnju

Upravljajte svojim HDS raspoređivanjem

Upravljajte HDS raspoređivanjem

Podesite raspored nadogradnje klastera

Promenite konfiguraciju čvora

Isključite blokirani režim rezolucije eksternog DNS-a

Ukloni čvor

Oporavak od katastrofe koristeći Standbi Data Center

(Opciono) Demontirajte ISO nakon HDS konfiguracije

Rešavanje problema sa hibridnom sigurnošću podataka

Pogledaj upozorenja i rešavanje problema

Upozorenja

Rešavanje problema sa hibridnom sigurnošću podataka

Ostale beleške

Poznati problemi za hibridnu bezbednost podataka

Pokreni HDS Setup alat koristeći Podman Desktop

Koristite OpenSSL da biste generisali PKCSKSNUMKS datoteku

Saobraćaj između HDS čvorova i oblaka

Saobraćaj za prikupljanje odlaznih metrika

Dolazni saobraćaj

Konfigurišite Squid Prokies za hibridnu sigurnost podataka

Vebsocket ne može da se poveže preko lignji proki

Predgovor

Nove i izmenjene informacije

Počnite sa hibridnom sigurnošću podataka

Pregled hibridne bezbednosti podataka

Arhitektura bezbednosnog područja

Saradnja sa drugim organizacijama

Očekivanja za primenu hibridne bezbednosti podataka

Proces podešavanja na visokom nivou

Model hibridne bezbednosti podataka

Hibridni probni režim bezbednosti podataka

Standbi data centar za oporavak od katastrofe

Podešavanje standbi data centra za oporavak od katastrofe