Det är möjligt att vissa artiklar visar innehåll inkonsekvent. Ursäkta besväret medan vi uppdaterar webbplatsen.
cross icon
I den här artikeln
dropdown icon
Förord
    Ny och ändrad information
    dropdown icon
    Kom igång med Hybrid-datasäkerhet
      Översikt över Hybrid-datasäkerhet
        dropdown icon
        Arkitektur för säkerhetssfär
          Separationsfält (utan Hybrid Data Security)
        Samarbeta med andra organisationer
          Förväntningar på distribution av Hybrid-datasäkerhet
            Konfigurationsprocess på hög nivå
              dropdown icon
              Distributionsmodell för hybrid-datasäkerhet
                Distributionsmodell för hybrid-datasäkerhet
              Testläge för hybrid-datasäkerhet
                dropdown icon
                Standby-datacenter för katastrofåterställning
                  Konfigurera Standby-datacenter för katastrofåterställning
                Proxysupport
                dropdown icon
                Förbered din miljö
                  dropdown icon
                  Krav för hybrid-datasäkerhet
                    Cisco Webex-licenskrav
                    Krav på Docker-skrivbord
                    X.509 certifikatkrav
                    Krav på virtuell värd
                    Krav på databasserver
                    Krav på extern anslutning
                    Proxy Server krav
                  Slutför förutsättningarna för Hybrid-datasäkerhet
                  dropdown icon
                  Konfigurera ett datasäkerhetskluster för hybrid
                    Datasäkerhetsdistributionsflöde för hybrid
                      Hämta installationsfiler
                        Skapa en konfigurations-ISO för HDS-värdarna
                          Installera HDS-värd-OVA
                            Konfigurera VM för hybrid-datasäkerhet
                              Ladda upp och montera HDS-konfigurationens ISO
                                Konfigurera HDS-noden för proxy-integrering
                                  Registrera den första noden i klustret
                                    Skapa och registrera fler noder
                                    dropdown icon
                                    Kör en provperiod och flytta till produktion
                                      Provperiod till produktionsflöde
                                        Aktivera provperiod
                                          Testa din distribution av hybrid-datasäkerhet
                                            Övervaka datasäkerhet för hybrid
                                              Lägg till eller ta bort användare från din provperiod
                                                Flytta från provperiod till produktion
                                                  Avsluta din provperiod utan att gå till produktion
                                                  dropdown icon
                                                  Hantera din HDS-distribution
                                                    Hantera HDS-distribution
                                                      Ställ in schema för klusteruppgradering
                                                        Ändra nodkonfigurationen
                                                          Inaktivera blockerad extern DNS-Matchningstid
                                                            Ta bort en nod
                                                              Katastrofåterställning med väntedatacenter
                                                                (Valfritt) Ta bort ISO efter HDS-konfiguration
                                                                dropdown icon
                                                                Felsöka Hybrid-datasäkerhet
                                                                  Visa aviseringar och felsökning
                                                                    dropdown icon
                                                                    Aviseringar
                                                                      Gemensamma problem och steg för att lösa dem
                                                                    Felsöka Hybrid-datasäkerhet
                                                                    dropdown icon
                                                                    Övriga anmärkningar
                                                                      Kända problem med Hybrid-datasäkerhet
                                                                        Använd OpenSSL för att generera en PKCS12-fil
                                                                          Trafik mellan HDS-noderna och molnet
                                                                            dropdown icon
                                                                            Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
                                                                              WebSocket kan inte ansluta via squid proxy
                                                                          I den här artikeln
                                                                          cross icon
                                                                          dropdown icon
                                                                          Förord
                                                                            Ny och ändrad information
                                                                            dropdown icon
                                                                            Kom igång med Hybrid-datasäkerhet
                                                                              Översikt över Hybrid-datasäkerhet
                                                                                dropdown icon
                                                                                Arkitektur för säkerhetssfär
                                                                                  Separationsfält (utan Hybrid Data Security)
                                                                                Samarbeta med andra organisationer
                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet
                                                                                    Konfigurationsprocess på hög nivå
                                                                                      dropdown icon
                                                                                      Distributionsmodell för hybrid-datasäkerhet
                                                                                        Distributionsmodell för hybrid-datasäkerhet
                                                                                      Testläge för hybrid-datasäkerhet
                                                                                        dropdown icon
                                                                                        Standby-datacenter för katastrofåterställning
                                                                                          Konfigurera Standby-datacenter för katastrofåterställning
                                                                                        Proxysupport
                                                                                        dropdown icon
                                                                                        Förbered din miljö
                                                                                          dropdown icon
                                                                                          Krav för hybrid-datasäkerhet
                                                                                            Cisco Webex-licenskrav
                                                                                            Krav på Docker-skrivbord
                                                                                            X.509 certifikatkrav
                                                                                            Krav på virtuell värd
                                                                                            Krav på databasserver
                                                                                            Krav på extern anslutning
                                                                                            Proxy Server krav
                                                                                          Slutför förutsättningarna för Hybrid-datasäkerhet
                                                                                          dropdown icon
                                                                                          Konfigurera ett datasäkerhetskluster för hybrid
                                                                                            Datasäkerhetsdistributionsflöde för hybrid
                                                                                              Hämta installationsfiler
                                                                                                Skapa en konfigurations-ISO för HDS-värdarna
                                                                                                  Installera HDS-värd-OVA
                                                                                                    Konfigurera VM för hybrid-datasäkerhet
                                                                                                      Ladda upp och montera HDS-konfigurationens ISO
                                                                                                        Konfigurera HDS-noden för proxy-integrering
                                                                                                          Registrera den första noden i klustret
                                                                                                            Skapa och registrera fler noder
                                                                                                            dropdown icon
                                                                                                            Kör en provperiod och flytta till produktion
                                                                                                              Provperiod till produktionsflöde
                                                                                                                Aktivera provperiod
                                                                                                                  Testa din distribution av hybrid-datasäkerhet
                                                                                                                    Övervaka datasäkerhet för hybrid
                                                                                                                      Lägg till eller ta bort användare från din provperiod
                                                                                                                        Flytta från provperiod till produktion
                                                                                                                          Avsluta din provperiod utan att gå till produktion
                                                                                                                          dropdown icon
                                                                                                                          Hantera din HDS-distribution
                                                                                                                            Hantera HDS-distribution
                                                                                                                              Ställ in schema för klusteruppgradering
                                                                                                                                Ändra nodkonfigurationen
                                                                                                                                  Inaktivera blockerad extern DNS-Matchningstid
                                                                                                                                    Ta bort en nod
                                                                                                                                      Katastrofåterställning med väntedatacenter
                                                                                                                                        (Valfritt) Ta bort ISO efter HDS-konfiguration
                                                                                                                                        dropdown icon
                                                                                                                                        Felsöka Hybrid-datasäkerhet
                                                                                                                                          Visa aviseringar och felsökning
                                                                                                                                            dropdown icon
                                                                                                                                            Aviseringar
                                                                                                                                              Gemensamma problem och steg för att lösa dem
                                                                                                                                            Felsöka Hybrid-datasäkerhet
                                                                                                                                            dropdown icon
                                                                                                                                            Övriga anmärkningar
                                                                                                                                              Kända problem med Hybrid-datasäkerhet
                                                                                                                                                Använd OpenSSL för att generera en PKCS12-fil
                                                                                                                                                  Trafik mellan HDS-noderna och molnet
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
                                                                                                                                                      WebSocket kan inte ansluta via squid proxy
                                                                                                                                                  Distributionsguide för Webex Hybrid-datasäkerhet
                                                                                                                                                  list-menuI den här artikeln
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2