Det är möjligt att vissa artiklar visar innehåll inkonsekvent. Ursäkta besväret medan vi uppdaterar webbplatsen.
cross icon
I den här artikeln
dropdown icon
Förord
    Ny och ändrad information
    dropdown icon
    Kom igång med Hybrid-datasäkerhet
      Översikt över Hybrid-datasäkerhet
        dropdown icon
        Säkerhetsarkitektur
          Separationsrealm (utan Hybrid-datasäkerhet)
        Samarbeta med andra organisationer
          Förväntningar på att distribuera Hybrid-datasäkerhet
            Installationsprocess på hög nivå
              dropdown icon
              Distributionsmodell för Hybrid-datasäkerhet
                Distributionsmodell för Hybrid-datasäkerhet
              Provläge för Hybrid-datasäkerhet
                dropdown icon
                Standby-datacenter för katastrofåterställning
                  Konfigurera datacenter för vänteläge för katastrofåterställning
                Proxysupport
                dropdown icon
                Förbered din miljö
                  dropdown icon
                  Krav för Hybrid-datasäkerhet
                    Cisco Webex-licenskrav
                    Skrivbordskrav för Docker
                    X.509-certifikatkrav
                    Krav för virtuell värd
                    Krav på databasserver
                    Krav på extern anslutning
                    Proxy Server krav
                  Uppfyll förutsättningarna för Hybrid-datasäkerhet
                  dropdown icon
                  Konfigurera ett datasäkerhetskluster för hybrid
                    Uppgiftsflöde för distribution av Hybrid-datasäkerhet
                      Hämta installationsfiler
                        Skapa en konfiguration-ISO för HDS-värdarna
                          Installera HDS-värd-OVA
                            Konfigurera VM för datasäkerhet för hybrid
                              Ladda upp och montera ISO för HDS-konfiguration
                                Konfigurera HDS-noden för proxy-integrering
                                  Registrera den första noden i klustret
                                    Skapa och registrera fler noder
                                    dropdown icon
                                    Kör en provperiod och gå till produktion
                                      Uppgiftsflöde för provperiod till produktion
                                        Aktivera provperiod
                                          Testa din datasäkerhetsdistribution för hybrid
                                            Övervaka datasäkerhet för hybrid
                                              Lägg till eller ta bort användare från din provperiod
                                                Flytta från provperiod till produktion
                                                  Avsluta provperioden utan att gå till produktion
                                                  dropdown icon
                                                  Hantera din HDS-distribution
                                                    Hantera HDS-distribution
                                                      Ställ in schema för klusteruppgradering
                                                        Ändra nodkonfigurationen
                                                          Inaktivera blockerad extern DNS-Matchningstid
                                                            Ta bort en nod
                                                              Katastrofåterställning med Standby-datacenter
                                                                (Valfritt) Avmontera ISO efter HDS-konfiguration
                                                                dropdown icon
                                                                Felsök Hybrid-datasäkerhet
                                                                  Visa aviseringar och felsökning
                                                                    dropdown icon
                                                                    Aviseringar
                                                                      Vanliga problem och steg för att lösa dem
                                                                    Felsök Hybrid-datasäkerhet
                                                                    dropdown icon
                                                                    Övriga anteckningar
                                                                      Kända problem med Hybrid-datasäkerhet
                                                                        Använd OpenSSL för att generera en PKCS12-fil
                                                                          Trafik mellan HDS-noderna och molnet
                                                                            dropdown icon
                                                                            Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
                                                                              WebSocket kan inte ansluta via squid proxy
                                                                          I den här artikeln
                                                                          cross icon
                                                                          dropdown icon
                                                                          Förord
                                                                            Ny och ändrad information
                                                                            dropdown icon
                                                                            Kom igång med Hybrid-datasäkerhet
                                                                              Översikt över Hybrid-datasäkerhet
                                                                                dropdown icon
                                                                                Säkerhetsarkitektur
                                                                                  Separationsrealm (utan Hybrid-datasäkerhet)
                                                                                Samarbeta med andra organisationer
                                                                                  Förväntningar på att distribuera Hybrid-datasäkerhet
                                                                                    Installationsprocess på hög nivå
                                                                                      dropdown icon
                                                                                      Distributionsmodell för Hybrid-datasäkerhet
                                                                                        Distributionsmodell för Hybrid-datasäkerhet
                                                                                      Provläge för Hybrid-datasäkerhet
                                                                                        dropdown icon
                                                                                        Standby-datacenter för katastrofåterställning
                                                                                          Konfigurera datacenter för vänteläge för katastrofåterställning
                                                                                        Proxysupport
                                                                                        dropdown icon
                                                                                        Förbered din miljö
                                                                                          dropdown icon
                                                                                          Krav för Hybrid-datasäkerhet
                                                                                            Cisco Webex-licenskrav
                                                                                            Skrivbordskrav för Docker
                                                                                            X.509-certifikatkrav
                                                                                            Krav för virtuell värd
                                                                                            Krav på databasserver
                                                                                            Krav på extern anslutning
                                                                                            Proxy Server krav
                                                                                          Uppfyll förutsättningarna för Hybrid-datasäkerhet
                                                                                          dropdown icon
                                                                                          Konfigurera ett datasäkerhetskluster för hybrid
                                                                                            Uppgiftsflöde för distribution av Hybrid-datasäkerhet
                                                                                              Hämta installationsfiler
                                                                                                Skapa en konfiguration-ISO för HDS-värdarna
                                                                                                  Installera HDS-värd-OVA
                                                                                                    Konfigurera VM för datasäkerhet för hybrid
                                                                                                      Ladda upp och montera ISO för HDS-konfiguration
                                                                                                        Konfigurera HDS-noden för proxy-integrering
                                                                                                          Registrera den första noden i klustret
                                                                                                            Skapa och registrera fler noder
                                                                                                            dropdown icon
                                                                                                            Kör en provperiod och gå till produktion
                                                                                                              Uppgiftsflöde för provperiod till produktion
                                                                                                                Aktivera provperiod
                                                                                                                  Testa din datasäkerhetsdistribution för hybrid
                                                                                                                    Övervaka datasäkerhet för hybrid
                                                                                                                      Lägg till eller ta bort användare från din provperiod
                                                                                                                        Flytta från provperiod till produktion
                                                                                                                          Avsluta provperioden utan att gå till produktion
                                                                                                                          dropdown icon
                                                                                                                          Hantera din HDS-distribution
                                                                                                                            Hantera HDS-distribution
                                                                                                                              Ställ in schema för klusteruppgradering
                                                                                                                                Ändra nodkonfigurationen
                                                                                                                                  Inaktivera blockerad extern DNS-Matchningstid
                                                                                                                                    Ta bort en nod
                                                                                                                                      Katastrofåterställning med Standby-datacenter
                                                                                                                                        (Valfritt) Avmontera ISO efter HDS-konfiguration
                                                                                                                                        dropdown icon
                                                                                                                                        Felsök Hybrid-datasäkerhet
                                                                                                                                          Visa aviseringar och felsökning
                                                                                                                                            dropdown icon
                                                                                                                                            Aviseringar
                                                                                                                                              Vanliga problem och steg för att lösa dem
                                                                                                                                            Felsök Hybrid-datasäkerhet
                                                                                                                                            dropdown icon
                                                                                                                                            Övriga anteckningar
                                                                                                                                              Kända problem med Hybrid-datasäkerhet
                                                                                                                                                Använd OpenSSL för att generera en PKCS12-fil
                                                                                                                                                  Trafik mellan HDS-noderna och molnet
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurera squid-proxyservrar för Hybrid-datasäkerhet
                                                                                                                                                      WebSocket kan inte ansluta via squid proxy

                                                                                                                                                  Distributionsguide för Webex Hybrid-datasäkerhet

                                                                                                                                                  list-menuI den här artikeln
                                                                                                                                                  list-menuHar du feedback?
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är innehållskryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklar som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdata datacenter, så att ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Support för proxy

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministrationsgränssnitt på noderna för certifikathantering och för att kontrollera den övergripande anslutningsstatusen när du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en avgiftsbelagd prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget ” Docker uppdaterar och utökar våra produktprenumerationer ”.

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbsocketanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasserver. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasserver kan hantera TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer överens bryter noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars avbryter noden anslutningen.

                                                                                                                                                  Använd rotcertifikat för databasen under rullgardinsmenyn för att överföra rotcertifikat för detta alternativ.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatundertecknaren och värdnamnet, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara .

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid Data Security-nod av följande anledningar:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller av andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för att ändra CN domännamn för ett certifikat. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdatera databasinställningar för att ändra till en replik av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi har inte stöd för migrering av data från PostgreSQL till Microsoft SQL Server, eller på motsatt sätt. Om du vill byta databasmiljö startar du en ny distribution av Hybrid Data Security.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder tjänsten Hybrid-datasäkerhet kontolösenord som är giltiga i nio månader. HDS-konfigurationsverktyget skapar dessa lösenord och du distribuerar dem till var och en av dina HDS-noder som en del av ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande om utgående lösenord från Webex-teamet, där du ombeds återställa lösenordet för datorns konto. (E-postmeddelandet innehåller texten ”Använd maskinkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har upphört att gälla ännu har du två alternativ i verktyget:

                                                                                                                                                  • Mjuk återställning – Det gamla och det nya lösenordet fungerar båda i upp till 10 dagar. Använd den här perioden för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan en återställning påverkar det din HDS-tjänst, vilket kräver en omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. För att komma åt det, kör Docker på den datorn. Installationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar av behörighetsprincip.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På datorns kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar tidigare bilder i HDS-installationsverktyget. Om det inte finns några tidigare bilder returneras ett felmeddelande som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-avbildningsregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsuppmaningen anger du denna hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-funktionen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressservern lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokala värden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas om det anger du dina inloggningsuppgifter som kund och klickar sedan på Acceptera för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    För att stänga av installationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny virtuell dator för noder och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfil du montera ISO-filen. Utför följande procedur på varje nod i tur och ordning, uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1 Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När den är aktiverad Blockerad extern DNS-upplösning är inställd på Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari, 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6:e september 2019

                                                                                                                                                  SQL-serverstandard har lagts till i databasens serverkrav.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om hur du konfigurerar Squid-proxyservrar för att ignorera websocket trafik för korrekt drift.
                                                                                                                                                  20:e augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterade Provperiod till produktionsuppgiftflöde med en påminnelse om att synkronisera Hds -gruppens gruppobjekt innan en provperiod startas om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är kryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln för utrymmet dirigerar KMS begäran ut till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera datasäkerhet för hybrid– Detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för hybrid datasäkerhet, testa din distribution med en undergrupp av användare i provläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Innan redundans har Data Center A aktiva HDS-noder och den primära databasen PostgreSQL eller Microsoft SQL Server, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM:er som är registrerade i organisationen och en standby-databas. Efter redogörelse har Data Center B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM:er. (Se Standby Data Center för katastrofåterställning för en översikt över den här redskapsmodellen.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                   passivtläge: ''sant'' 

                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  När du har konfigurerat passivt läge i ISO-filen och sparat den kan du skapa en annan kopia av ISO-filen utan konfigurationen passivt läge och spara den på en säker plats. Denna kopia av ISO-filen utan konfigurerat passivt läge kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Proxy-Support

                                                                                                                                                  Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

                                                                                                                                                  Datanoderna för Hybrid har stöd för följande proxyinställningar:

                                                                                                                                                  • Ingen proxy– Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikat uppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – ett portnummer som proxyn använder för att lyssna på för proxied trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösen ordet för varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

                                                                                                                                                        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösen ordet för varje nod.

                                                                                                                                                  Exempel på data säkerhets noder och proxy för Hybrid

                                                                                                                                                  Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

                                                                                                                                                  Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

                                                                                                                                                  När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Uppgifter

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och Startcom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-nyckeln för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat för att ladda upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som hybrid-datasäkerhetsnoder i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL-server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy Server krav

                                                                                                                                                  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

                                                                                                                                                    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

                                                                                                                                                    • Explicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:)-anslutningar. Om du vill arbeta med problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Digest-autentisering med endast HTTPS

                                                                                                                                                  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och skaffa en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som har genererats för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av detta innehåll.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav .

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas Hds-provgrupp och lägger till pilotanvändare. Provgruppen kan ha upp till 250 användare. Objektet Hds -provgrupp måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i menyn Kataloganslutning Konfiguration > Objektval . (Detaljerade anvisningar finns i distributionshandboken för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxy-integrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till din dator (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar . Klicka på Redigera inställningar på kortet för hybrid-datasäkerhet för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp .


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxyserver utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  På din dators kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-inställning:stabil

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                   

                                                                                                                                                  Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-bildregistret anger du följande:

                                                                                                                                                  docker inloggning -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsupp prompten anger du detta hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6RO kvKUI o
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabil bild för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker dra ciscocitg/hds-setup:stabil

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker dra ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                  5

                                                                                                                                                  När pull-in är slutförd anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs ser du "Expressserverlyssning på port 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden, http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och laddar upp den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server ) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn .

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMAIN i fältet Användarnamn .

                                                                                                                                                  3. Ange databasserveradressen i formuläret : eller :.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredrar TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräver TLS

                                                                                                                                                  HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikat signering


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om noden inte matchar sänker noden anslutningen.

                                                                                                                                                  Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

                                                                                                                                                  Kräv TLS och verifiera certifikat signering och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om noden inte matchar sänker noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

                                                                                                                                                  Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxStorlek: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller om du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du laddade ner tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  På sidan Välj namn och mapp anger du ett virtuellt maskinnamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  På sidan Välj en beräkningsresurs väljer du destinationsberäkningsresurs och klickar sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på konfigurationssidan klickar du på 4 CPU och klickar sedan på Nästa.

                                                                                                                                                  8

                                                                                                                                                  På sidan Välj lagringsutrymme klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

                                                                                                                                                  9

                                                                                                                                                  På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att ge önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Det finns för närvarande inget stöd för versalisering.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på noden VM och välj sedan Ström > Ström på.

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol .

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: Administratör

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överföring/hämtning och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka på CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till platsen där du laddade upp ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxy-integrering

                                                                                                                                                  Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – Standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
                                                                                                                                                  • Transparent proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy som inte inspekterar. Ingen certifikat uppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – ett portnummer som proxyn använder för att lyssna på för proxied trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP-och HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP-och HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

                                                                                                                                                  Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

                                                                                                                                                  Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

                                                                                                                                                  Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Om det är tillämpligt synkroniserar du Hds -gruppens gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja Hds -gruppens gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja Hds -gruppens gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrial.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. För att först kontrollera om en användare etablerar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-tråd-1] - [KMS:REQUEST] mottagna, enhetsID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 EcdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (KrypteringKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=hämta och kms.data.type=KEY:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-tråd-31] - [KMS:REQUEST] mottagna, enhetsID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f EcdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (KrypteringKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om du vill söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-tråd-33] - [KMS:REQUEST] mottagna, enhetsID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f EcdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (KrypteringKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.urihost=noll, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS Resource Object (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas filtrerar du på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-tråd-1] - [KMS:REQUEST] mottagna, enhetsID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f EcdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (KrypteringKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.urihost=noll, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet KMS den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen, HdsTrial Group. Du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara.

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles. Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.


                                                                                                                                                     

                                                                                                                                                    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

                                                                                                                                                  • Mjuk återställning – både gamla och nya lösenord fungerar i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

                                                                                                                                                  • Hård återställning – de gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

                                                                                                                                                  Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxyserver utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://ANVÄNDARNAMN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-inställning:stabil

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                     

                                                                                                                                                    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-bildregistret anger du följande:

                                                                                                                                                    docker inloggning -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsupp prompten anger du detta hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6RO kvKUI o
                                                                                                                                                  4. Hämta den senaste stabil bild för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker dra ciscocitg/hds-setup:stabil

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker dra ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTPSproxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs ser du "Expressserverlyssning på port 8080".

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas till det anger du inloggningsuppgifterna för kundinloggning i Control Hub och klickar sedan på Godkänn för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod som körs skapar du en ny VM för Hybrid Data Security nod och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Inaktivera blockerad extern DNS-Matchningstid

                                                                                                                                                  När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

                                                                                                                                                  Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Går du till Översikt (standard sidan).

                                                                                                                                                  När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

                                                                                                                                                  3

                                                                                                                                                  Går du till sidan betrodda certifikat \ proxy .

                                                                                                                                                  4

                                                                                                                                                  Klicka på kontrol lera proxy-anslutning.

                                                                                                                                                  Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. Välj den nod som du vill ta bort på fliken Noder.

                                                                                                                                                  6. Klicka på Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  Ta bort VM i vsfären-klienten. (Högerklicka på VM i vänsternavigeringsrutan och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passivt läge för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                   passivtläge: ''falska'' 

                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD-/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Avisering

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomstfel i lokal databas.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatbunkefil som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  ------- inledande certifikat---- ### Servercertifikat. ### ---------------------------------------------- ### Mellanliggande CA-certifikat. ### ---------------------------------------------- ### Rot-CA-certifikat. ### -----slutcertifikat-----

                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-nyckeln.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller de linjer vänligaNamn: kms-privat nyckel.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligtnamn: kms-privat-nyckel lokalt nyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange PEM-passfras: Verifiering – Ange fras för PEM-pass: ----- BÖRJA KRYPTERAD PRIVAT NYCKEL-----  ----- SLUTKRYPTERAD PRIVAT NYCKEL----- Väska Attribut vänligtnamn: kms-privat-nyckel lokalt nyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BÖRJA CERTIFIKAT----  -----END CERTIFICATE----- Väska Attribut friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt Authority C=US subject=/C=US/O=Let's Encrypt Authority X3 utfärdare=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BÖRJA CERTIFIKAT----  -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  WebSocket kan inte ansluta via squid proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:)-anslutningar som krävs för Hybrid Data Security. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktivet i squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel till

                                                                                                                                                  Squid-3.5.27

                                                                                                                                                  Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex kvicksilver-anslutning ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett konfigurationsprogram innan du kan installera HDS-noder. Se kraven för Docker-skrivbordet.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Se Använd Öppen SSL för att generera en PKCS12-fil.

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt diskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Se Skapa en konfigurations-ISO för HDS-värdar för mer information.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lagt till information om HDS-konfigurationsverktyget och proxyservrar för att skapa en konfigurations-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdar och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterad Testa din distribution av Hybrid-datasäkerhet för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterat Ta bort en nod för ändringar i Control Hub-användargränssnittet.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL-serverdatabaser, användarändringar och andra förtydliganden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESX i 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Uppdaterade Externa anslutningskrav med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterat Skapa en konfigurations-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Uppdaterade Proxyserverkrav.
                                                                                                                                                  16 december 2019Förtydligade kravet att blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lagt till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA istället för efteråt.

                                                                                                                                                  Följande avsnitt har uppdaterats i enlighet med detta:


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Lade till SQL-serverstandard till krav på databasserver.

                                                                                                                                                  29:e augusti 2019Lade till Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om konfigurering av Squid-proxyservrar för att ignorera webbsocket-trafik för korrekt drift.
                                                                                                                                                  20 augusti 2019

                                                                                                                                                  Avsnitt har lagts till och uppdaterats för att täcka proxystöd för Hybrid-datasäkerhetsnodkommunikation till Webex-molnet.

                                                                                                                                                  För att bara komma åt innehållet i proxysupporten för en befintlig distribution, se hjälpartikeln Proxystöd för hybrid-datasäkerhet och Webex-videonät.

                                                                                                                                                  13 juni 2019Uppdaterad provperiod till produktionsuppgift med en påminnelse om att synkronisera HdsTrialGroup gruppobjekt innan du startar en provperiod om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerade mängden lokalt hårddiskutrymme per server som du ska ställa åt sidan när du förbereder de virtuella värdar som blir Hybrid Data Security noder, från 50 GB till 20 GB, för att återspegla storleken på disk som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade loggningsanslutningar till en TLS-kompatibel syslog-server. Uppdaterat Skapa en konfigurations-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Borttagna destinations-URL:er från tabellen ”Internet Connectivity Requirements for Hybrid Data Security Nod VM:er”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” med nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som databas. SQL Server Always On (Always On Failover Clusters och Always On Availability Groups) stöds av de JDBC-drivrutiner som används i Hybrid Data Security. Lagt till innehåll relaterat till distribution med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrad terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509 Certificate Requirements angavs att certifikatet inte kan vara ett wildcard-certifikat och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HDS-provgruppen.

                                                                                                                                                  • Fixade anvisningar för att ladda upp ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Publicerad första gången

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från och med dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är kryptering från slutpunkt till slutpunkt, som aktiveras av Webex-appklienter som interagerar med nyckelhanteringstjänsten (KMS). KMS ansvarar för att skapa och hantera de kryptografiska nycklarna som klienter använder för att dynamiskt kryptera och avkryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i molnet KMS i Ciscos säkerhetsområde. Hybrid Data Security flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter, så ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Arkitektur för säkerhetssfär

                                                                                                                                                  Webex-molnarkitekturen separerar olika typer av tjänster i separata sfärer eller förtroendedomäner, som visas nedan.

                                                                                                                                                  Separationsfält (utan Hybrid Data Security)

                                                                                                                                                  För att ytterligare förstå Hybrid Data Security, låt oss först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnvärldar. Identitetstjänsten, den enda plats där användare kan vara direkt korrelerade med sin personliga information som e-postadress, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från den sfär där krypterat innehåll slutligen lagras, i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserat med identitetstjänsten. När användaren sammanställer ett meddelande som ska skickas till ett utrymme görs följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar det till indexeringstjänsten, som skapar krypterade sökindex för att hjälpa till i framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetssfärens funktioner (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive identitets- och innehållslagring) finns kvar i Ciscos värld.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa mötesdeltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom den skapades av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. När en annan organisation äger nyckeln för utrymmet dirigerar KMS dock begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till användaren på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningarna till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för mer information om att generera ett x.509-certifikat som ska användas med din Hybrid Data Security-distribution.

                                                                                                                                                  Förväntningar på distribution av Hybrid-datasäkerhet

                                                                                                                                                  En distribution av hybrid-datasäkerhet kräver betydande kundengagemang och medvetenhet om riskerna med att äga krypteringsnycklar.

                                                                                                                                                  För att distribuera Hybrid-datasäkerhet måste du ange:

                                                                                                                                                  Fullständig förlust av antingen konfigurations-ISO som du bygger för Hybrid Data Security eller databasen som du tillhandahåller kommer att leda till förlust av nycklarna. Nyckelförlust förhindrar användare från att avkryptera utrymmesinnehåll och andra krypterade data i Webex-appen. Om detta händer kan du skapa en ny distribution, men endast nytt innehåll visas. För att undvika förlust av åtkomst till data måste du:

                                                                                                                                                  • Hantera säkerhetskopiering och återställning av databasen och konfigurations-ISO.

                                                                                                                                                  • Var beredd att utföra snabb katastrofåterställning om en katastrof inträffar, till exempel databasdiskfel eller datacenterkatastrof.


                                                                                                                                                   

                                                                                                                                                  Det finns ingen mekanism för att flytta nycklarna tillbaka till molnet efter en HDS-distribution.

                                                                                                                                                  Konfigurationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet täcker konfiguration och hantering av en distribution av hybrid-datasäkerhet:

                                                                                                                                                  • Konfigurera Hybrid Data Security – detta inkluderar att förbereda nödvändig infrastruktur och installera programvara för Hybrid Data Security, testa din distribution med en undergrupp av användare i testläge och, när testet är slutförd, gå till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna behandlas i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhåll din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge stöd på nivå ett för den här distributionen och använda Ciscos support vid behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem– Om du stöter på problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i denna guide och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  I ditt företagsdatacenter distribuerar du Hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säkra HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att ställa in den virtuella enheten på de VM-datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din medföljande Syslogd-server och PostgreSQL- eller Microsoft SQL-serverdatabas. (Du konfigurerar information om Syslogd- och databasanslutningen i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för hybrid-datasäkerhet

                                                                                                                                                  Det minsta antalet noder som du kan ha i ett kluster är två. Vi rekommenderar minst tre, och du kan ha upp till fem. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod åt gången.)

                                                                                                                                                  Alla noder i ett kluster kommer åt samma nyckeldatalagring och loggaktivitet till samma syslog-server. Noderna själva är statslösa, och hanterar nyckelförfrågningar på runrobin-sätt, som styrs av molnet.

                                                                                                                                                  Noder aktiveras när du registrerar dem i Control Hub. Om du vill ta en enskild nod ur tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi stöder endast ett kluster per organisation.

                                                                                                                                                  Testläge för hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av hybrid-datasäkerhet försöker du först med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta distributionen under provperioden och inaktivera tjänsten kommer pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden att förlora åtkomst till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändare och du är redo att utöka Hybrid Data Security till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortfarande tillgång till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläget och den ursprungliga provningen. Om du måste inaktivera tjänsten, t.ex. för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera uppsättningen pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläget. Huruvida användare behåller åtkomst till data vid denna tidpunkt beror på om du har upprätthållit säkerhetskopior av nyckeldatalagringen och ISO-konfigurationsfilen för hybrid-datasäkerhetsnoderna i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert standby-datacenter. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till standby-datacentret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell redogörelse för standby-datacenter

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter synkroniseras med varandra vilket minimerar den tid det tar att utföra redogörelsen. ISO-filen för standby-datacentret uppdateras med ytterligare konfigurationer som säkerställer att noderna registreras i organisationen, men inte hanterar trafiken. Noderna i standby-datacentret är därför alltid uppdaterade med den senaste versionen av HDS-programvaran.


                                                                                                                                                   

                                                                                                                                                  De aktiva Hybrid-datasäkerhetsnoderna måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera Standby-datacenter för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för standby-datacentret:

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Standby-datacentret ska spegla produktionsmiljön för VM:er och en säkerhetskopierad PostgreSQL eller Microsoft SQL Server-databas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er. (Se Standby Data Center for Disaster Recovery för en översikt över denna redskapsmodell.)

                                                                                                                                                  • Kontrollera att databassynkronisering är aktiverad mellan databasen för aktiva och passiva klusternoder.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacentret där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget registreras noden i organisationen och ansluts till molnet, men hanteras inte någon trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera sysloggarna för att kontrollera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerat i passivt läge” i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen och spara den kan du skapa en annan kopia av ISO-filen utan passiveMode konfiguration och spara den på en säker plats. Denna kopia av ISO-filen utan passiveMode konfigurerad kan hjälpa till i en snabb redogörelse under katastrofåterställning. Se Katastrofåterställning med Standby Data Center för detaljerad redogörelse.

                                                                                                                                                  Proxystöd

                                                                                                                                                  Hybrid-datasäkerhet har stöd för uttryckliga, transparenta och icke-inspekterade proxyservrar. Du kan koppla dessa proxyservrar till din distribution så att du kan säkra och övervaka trafiken från företaget till molnet. Du kan använda ett plattformsadministratörsgränssnitt på noderna för certifikathantering och för att kontrollera den totala anslutningsstatusen efter att du har konfigurerat proxyn på noderna.

                                                                                                                                                  Hybrid-datasäkerhetsnoderna har stöd för följande proxyalternativ:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder konfigurationen av HDS-noden Trust Store och Proxy för att integrera en proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Transparent icke-inspekterande proxy– Noderna har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.

                                                                                                                                                  • Genomskinlig tunneling eller inspektion av proxy – noderna har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTP- eller HTTPS-konfigurationsändringar krävs på noderna. Noderna behöver dock ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy berättar du för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. Om du vill konfigurera en uttrycklig proxy måste du ange följande information på varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll – Beroende på vad din proxyserver stöder väljer du mellan följande protokoll:

                                                                                                                                                      • HTTP – Visar och kontrollerar alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – Tillhandahåller en kanal till servern. Klienten tar emot och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Inget – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer antingen HTTP eller HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt om du väljer HTTPS som proxyprotokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösenord på varje nod.

                                                                                                                                                  Exempel på hybrid-datasäkerhetsnoder och proxy

                                                                                                                                                  Det här diagrammet visar en exempelanslutning mellan datasäkerhet för hybrid, nätverk och en proxy. För transparent inspektion och HTTPS-uttryckliga inspektionsalternativ måste samma rotcertifikat installeras på proxyn och på hybrid-datasäkerhetsnoderna.

                                                                                                                                                  Blockerat externt DNS-upplösningsläge (uttryckliga proxykonfigurationer)

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. I distributioner med uttryckliga proxykonfigurationer som inte tillåter extern DNS-upplösning för interna klienter, om noden inte kan fråga DNS-servrar, går den automatiskt till blockerad extern DNS-upplösning. I det här läget kan nodregistrering och andra proxyanslutningstester fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för hybrid-datasäkerhet

                                                                                                                                                  Krav på Docker-skrivbord

                                                                                                                                                  Innan du installerar dina HDS-noder behöver du Docker Desktop för att köra ett konfigurationsprogram. Docker uppdaterade nyligen sin licensmodell. Din organisation kan kräva en betald prenumeration för Docker Desktop. För mer information, se Dockers blogginlägg, " Docker uppdaterar och utökar våra produktprenumerationer".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för distribution av hybrid-data

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på CA:er i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett domännamn (CN) som identifierar din distribution av hybrid-datasäkerhet

                                                                                                                                                  • Är inte ett wildcard-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara en levande värd. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.company.com.

                                                                                                                                                  CN får inte innehålla ett * (wildcard).

                                                                                                                                                  CN används för att verifiera Hybrid-datasäkerhetsnoderna till Webex-appklienter. Alla hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Ditt KMS identifierar sig med CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med det här certifikatet stöder vi inte att ändra CN-domännamnet. Välj en domän som kan tillämpas på både provperiod och produktions distributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för validering av anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterad som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellancertifikat som ska laddas upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade begränsningar för användning av nycklar. Vissa certifikatmyndigheter kräver att utökade begränsningar för nyckelanvändning tillämpas på varje certifikat, t.ex. serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav på virtuell värd

                                                                                                                                                  De virtuella värdar som du kommer att konfigurera som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter

                                                                                                                                                  • VM-programvara ESXi 6.5 (eller senare) installerad och körs.


                                                                                                                                                     

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 v CPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver


                                                                                                                                                   

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.

                                                                                                                                                  Det finns två alternativ för databasserver. Kraven för var och en är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerat och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerat.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 v processorer, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att den inte överskrids (2-TB rekommenderas om du vill köra databasen under en lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutiner för kommunikation med databasservern:

                                                                                                                                                  Postra SQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL-server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinversionen har stöd för SQL Server Always On ( Always On Failover Cluster Instances och Always On Availability Groups).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • HDS-noderna, Active Directory-infrastrukturen och MS SQL Server måste alla synkroniseras med NTP.

                                                                                                                                                  • Windows-kontot som du tillhandahåller HDS-noder måste ha läs-/skrivåtkomst till databasen.

                                                                                                                                                  • DNS-servrar som du tillhandahåller HDS-noder måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som tjänstens huvudnamn (SPN) i din Active Directory. Se Registrera ett tjänstehuvudnamn för Kerberos Connections.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-lanseraren och lokala KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att konstruera SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera din brandvägg för att tillåta följande anslutning för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasäkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster med nätverkskrav för Webex-tjänster

                                                                                                                                                  HDS-konfigurationsverktyg

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla gemensamma identitetsvärdar

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasäkerhetsnoderna fungerar med nätverksåtkomstöversättning (NAT) eller bakom en brandvägg, så länge NAT eller brandvägg tillåter de nödvändiga utgående anslutningarna till domändestinationerna i föregående tabell. För anslutningar som går in till Hybrid-datasäkerhetsnoderna ska inga portar visas från internet. I ditt datacenter behöver klienter åtkomst till Hybrid-datasäkerhetsnoderna på TCP-portarna 443 och 22 för administrativa ändamål.

                                                                                                                                                  URL:erna för värdarna för Common Identity (CI) är regionspecifika. Detta är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  Gemensamma URL:er för identitetsvärd

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav på proxyserver

                                                                                                                                                  • Vi stöder officiellt följande proxylösningar som kan integreras med dina Hybrid-datasäkerhetsnoder.

                                                                                                                                                    • Transparent proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Explicit proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket (wss:) anslutningar. Om du vill arbeta med det här problemet, se Konfigurera Squid-proxyservrar för hybrid-datasäkerhet.

                                                                                                                                                  • Vi stöder följande kombinationer av autentiseringstypen för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Smälta autentisering endast med HTTPS

                                                                                                                                                  • För en transparent inspektionsproxy eller en explicit HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Distributionsinstruktionerna i den här guiden beskriver hur du överför kopian till Hybrid-datasäkerhetsnodernas betrodda butiker.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste konfigureras för att tvinga utgående TCP-trafik på port 443 att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som inspekterar webbtrafik kan störa webbanslutningarna. Om det här problemet inträffar kan du kringgå (inte inspektera) trafiken till wbx2.com och ciscospark.com löser problemet.

                                                                                                                                                  Slutför förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att se till att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro Pack för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga administratörsrättigheter för organisationen. Kontakta din Cisco-partner eller kontohanteraren för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och erhålla en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i certifikatkraven X.509.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du kommer att konfigurera som Hybrid-datasäkerhetsnoder i ditt kluster. Du behöver minst två separata värdar (3 rekommenderas) samlokaliserade i samma säkra datacenter som uppfyller kraven i Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som kommer att fungera som nyckeldatalagring för klustret i enlighet med databasserverkraven. Databasservern måste vara samlokaliserad i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de är installerade.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamn eller IP-adress (värd) och port

                                                                                                                                                    • databasens namn (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  Konfigurera en säkerhetskopieringsmiljö i ett annat datacenter för snabb katastrofåterställning. Den säkerhetskopierade miljön speglar produktionsmiljön för VM:er och en säkerhetskopieringsdatabas. Om produktionen till exempel har 3 VM:er som kör HDS-noder bör den säkerhetskopierade miljön ha 3 VM:er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadress och syslog-port (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker säkerhetspolicy för hybrid-datasäkerhetsnoderna, databasservern och syslog-värden. För att förhindra oåterkallelig dataförlust måste du åtminstone säkerhetskopiera databasen och den ISO-konfigurationsfil som genereras för Hybrid-datasäkerhetsnoderna.


                                                                                                                                                   

                                                                                                                                                  Eftersom datasäkerhetsnoderna för hybrid lagrar nycklarna som används i kryptering och dekryptering av innehåll kommer underlåtenhet att leda till en OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte omedelbart märks, men blir uppenbart över tid. Även om tillfälliga avbrott är omöjliga att förhindra, kan de återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationens ISO-fil kommer dock att resultera i icke återställbara kunddata. Operatörerna av Hybrid-datasäkerhetsnoderna förväntas upprätthålla frekventa säkerhetskopieringar av databasen och ISO-konfigurationsfilen och vara beredda att återuppbygga datacentret för hybrid-datasäkerhet om ett katastrofalt fel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Se till att brandväggskonfigurationen tillåter anslutning för dina Hybrid-datasäkerhetsnoder enligt beskrivningen i Externa anslutningskrav.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger lokal konfigurationsinformation för alla hybrid-datasäkerhetsnoder. Din organisation kan behöva en Docker Desktop-licens. Mer information finns i Dockers skrivbordskrav.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha anslutningen som beskrivs i Externa anslutningskrav.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller proxyserverkraven.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som kallas HdsTrialGroup och lägg till pilotanvändare. Provgruppen kan ha upp till 250 användare. Filen HdsTrialGroup objektet måste synkroniseras till molnet innan du kan starta en provperiod för din organisation. Om du vill synkronisera ett gruppobjekt väljer du det i kataloganslutningens Konfiguration > Objektval meny. (Detaljerade instruktioner finns i distributionsguiden för Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. När du väljer pilotanvändare bör du komma ihåg att om du bestämmer dig för att permanent inaktivera distribution av hybrid-datasäkerhet förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten visas så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Datasäkerhetsdistributionsflöde för hybrid

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för hybrid-datasäkerhetsnoderna.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell maskin från OVA-filen och utför den inledande konfigurationen, till exempel nätverksinställningar.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Konfigurera VM från ISO-konfigurationsfilen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du den typ av proxy som du ska använda för noden och lägger till proxycertifikatet i förtroendebutiken om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera VM med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)

                                                                                                                                                  Tills du startar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du har konfigurerat som Hybrid Data Security noder). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be om att aktivera din organisation för Hybrid-datasäkerhet. Om du vill hitta kontonummeret klickar du på kugghjulet högst upp till höger bredvid organisationens namn.


                                                                                                                                                   

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar. På kortet för hybrid-datasäkerhet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid datasäkerhet i avsnittet Hjälp.


                                                                                                                                                   

                                                                                                                                                  Äldre versioner av programvarupaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid Data Security. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att ange att du inte har ställt in noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtas. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguiden för att kontrollera om det finns en senare version av den här guiden.

                                                                                                                                                  Skapa en konfigurations-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för hybrid-datasäkerhet skapar en ISO-fil. Du använder sedan ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på maskinen för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurations-ISO-filen som du genererar innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som följande:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicy

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du distributionen av PostgreSQL eller SQL Server för TLS.

                                                                                                                                                  1

                                                                                                                                                  Ange ett lämpligt kommando för din miljö på din dators kommandorad:

                                                                                                                                                  I regelbundna miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Det här steget rensar upp tidigare HDS-konfigurationsverktygsbilder. Om det inte finns några tidigare bilder returneras ett fel som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  Om du vill logga in på Docker-bildregistret anger du följande:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ange detta hash vid lösenordsinstruktionen:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                  I regelbundna miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  När pulsen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I regelbundna miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I regelbundna miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs visas ”Expressserver lyssnar på port 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  Använd en webbläsare för att gå till lokaliseringsvärden http://127.0.0.1:8080 och ange kundadministratörens användarnamn för Control Hub på uppmaningen.

                                                                                                                                                  Verktyget använder den första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standarduppmaningen om inloggning.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att tillåta åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan Konfigurationsverktyg.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – Om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – Om du redan har skapat HDS-noder väljer du din ISO-fil i bläddringen och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkraven.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om ditt certifikat är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har löpt ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasens adress och konto för HDS för att komma åt din nyckeldatabank:

                                                                                                                                                  1. Välj din databastyp (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (endast Microsoft SQL-server) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL-serverkontonamn i fältet Användarnamn.

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet username@DOMAIN i fältet Användarnamn.

                                                                                                                                                  3. Ange databasserveradressen i formuläret <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasens namn.

                                                                                                                                                  5. Ange användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett TLS-databasanslutningsläge:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredrar TLS(standardalternativ)

                                                                                                                                                  HDS-noder kräver inte TLS för att ansluta till databasservern. Om du aktiverar TLS på databasservern försöker noderna en krypterad anslutning.

                                                                                                                                                  Kräv TLS

                                                                                                                                                  HDS-noder ansluts endast om databasservern kan förhandla om TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare


                                                                                                                                                   

                                                                                                                                                  Det här läget gäller inte för SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder ansluts endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer förlorar noden anslutningen.

                                                                                                                                                  Använd rotcertifikatkontrollen nedanför rullgardinsmenyn för att överföra rotcertifikatet för det här alternativet.

                                                                                                                                                  Kräv TLS och verifiera certifikatsignerare och värdnamn

                                                                                                                                                  • HDS-noder ansluts endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämförs noden signerare av certifikatet från databasens server med certifikatmyndigheten i rotcertifikatet. Om de inte stämmer förlorar noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databas värd och port. Namnen måste matcha exakt, annars förlorar noden anslutningen.

                                                                                                                                                  Använd rotcertifikatkontrollen nedanför rullgardinsmenyn för att överföra rotcertifikatet för det här alternativet.

                                                                                                                                                  När du överför rotcertifikatet (vid behov) och klickar på Fortsätt testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar även certifikatsignerare och värdnamn, om tillämpligt. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med konfigurationen. (På grund av anslutningsskillnader kan HDS-noderna kunna etablera TLS-anslutningen även om HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange syslog-serverns URL.

                                                                                                                                                    Om servern inte kan lösas DNS från noderna för ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 anger loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar din server för att använda TLS-kryptering kontrollerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan måste du ange en TCP-URL, t.ex. tcp://10.92.43.23:514.

                                                                                                                                                  3. I listrutan Välj avslutning av syslog-inspelningen väljer du lämplig inställning för din ISO-fil: Välj eller Newline används för Graylog och Rsyslog TCP

                                                                                                                                                    • Noll byte -- \x00

                                                                                                                                                    • Newline -- \n– Välj det här valet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutningen i Avancerade inställningar. I allmänhet är den här parametern den enda som du kanske vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstekonton .

                                                                                                                                                  Lösenord för tjänstekonton har en nimånaders livslängd. Använd den här skärmen när dina lösenord närmar sig utgången eller du vill återställa dem för att ogiltigförklara tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  Om du vill stänga av konfigurationsverktyget skriver du CTRL+C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera konfigurationens ISO-fil. Du behöver den för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du också förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL-serverdatabas.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopia av nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd den här proceduren för att skapa en virtuell maskin från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på datorn för att logga in på den virtuella värden för ESXi.

                                                                                                                                                  2

                                                                                                                                                  Välj Fil > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du var OVA-filen du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  Välj ett namn och en mapp sida, ange en Namn på virtuell dator för noden (till exempel ”HDS_Node_1”) väljer du en plats där distributionen av den virtuella maskinnoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  Välj en datorresurs sida, välj destinationens beräkningsresurs och klicka sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfigurationen på Konfiguration sida, klicka 4 CPU och klicka sedan Nästa.

                                                                                                                                                  8

                                                                                                                                                  Välj lagringsutrymme sida, klicka Nästa för att godkänna standarddiskformat och VM-lagringspolicy.

                                                                                                                                                  9

                                                                                                                                                  Välj nätverk sidan, välj nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM.

                                                                                                                                                  10

                                                                                                                                                  På sidan Anpassa mall konfigurerar du följande nätverksinställningar:

                                                                                                                                                  • Värdnamn – Ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.

                                                                                                                                                     
                                                                                                                                                    • Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet använder du endast små tecken i FQDN eller värdnamnet som du har ställt in för noden. Kapitalisering stöds inte just nu.

                                                                                                                                                    • Den totala längden på FQDN får inte överstiga 64 tecken.

                                                                                                                                                  • IP-adress – Ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                     

                                                                                                                                                    Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange delnätmaskadressen i punktdecimalnotation. Till exempel, 255.255.255.0.
                                                                                                                                                  • Gateway – Ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaavgränsad lista över DNS-servrar som hanterar översättande domännamn till numeriska IP-adresser. (Upp till 4 DNS-poster är tillåtna.)
                                                                                                                                                  • NTP-servrar – ange din organisations NTP-server eller en annan extern NTP-server som kan användas i din organisation. Standardservrarna för NTP fungerar kanske inte för alla företag. Du kan också använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du föredrar kan du hoppa över nätverksinställningskonfigurationen och följa stegen i Konfigurera Hybrid Data Security VM för att konfigurera inställningarna från nodkonsolen.


                                                                                                                                                   

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distribution har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > .

                                                                                                                                                  Programvaran Hybrid Data Security installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna kommer upp. Ett meddelande om bryggbrandvägg visas på konsolen under den första uppstarten, där du inte kan logga in.

                                                                                                                                                  Konfigurera VM för hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att logga in på VM-konsolen för hybrid-datasäkerhet för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VM-programvaran vSfären väljer du VM-noden för hybrid-datasäkerhet och väljer fliken Konsol.

                                                                                                                                                  VM startar och en inloggningsuppmaning visas. Om inloggningsinstruktionen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: admin

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS-värd-OVA ska du hoppa över resten av proceduren. Annars väljer du alternativet Redigera konfiguration i huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med information om IP-adress, mask, gateway och DNS. Din nod ska ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-server(er) om det behövs för att matcha nätverkspolicyn.

                                                                                                                                                  Du behöver inte ställa in domänen som matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM så att ändringarna träder i kraft.

                                                                                                                                                  Ladda upp och montera HDS-konfigurationens ISO

                                                                                                                                                  Använd den här proceduren för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen har huvudnyckeln bör den endast exponeras på "need to know"-basis, för åtkomst av Hybrid Data Security VM och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagringen.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VM-ware vSphere-klientens vänstra navigeringsfönster.

                                                                                                                                                  2. Klicka på Lagring på fliken Konfiguration.

                                                                                                                                                  3. Högerklicka på datalagringen för dina VM-datorer i listan Datalagring och klicka på Bläddra Datalagring.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till platsen där du laddade ner ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om överförings-/hämtningsåtgärden och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att acceptera varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil för datalagring och bläddra till den plats där du laddade upp konfigurationens ISO-fil.

                                                                                                                                                  4. Kontrollera Ansluten och Anslut vid ström.

                                                                                                                                                  5. Spara dina ändringar och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du som alternativ ta bort ISO-filen efter att alla dina noder plockar upp konfigurationsändringarna. Se (Valfritt) Ta bort ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxyintegrering

                                                                                                                                                  Om nätverksmiljön kräver en proxy använder du den här proceduren för att ange vilken typ av proxy du vill integrera med Hybrid Data Security. Om du väljer en transparent inspektionsproxy eller en explicit HTTPS-proxy kan du använda nodens gränssnitt för att ladda upp och installera rotcertifikatet. Du kan även kontrollera proxyanslutningen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Ange URL för konfiguration av HDS-nod https://[HDS Node IP or FQDN]/setup i en webbläsare anger du administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Trust Store och Proxy och välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent icke-inspekterande proxy – noder har inte konfigurerats för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikatuppdatering krävs.
                                                                                                                                                  • Transparent inspektionsproxy – noder har inte konfigurerats för att använda en specifik proxyserveradress. Inga HTTPS-konfigurationsändringar krävs för distribution av hybrid-datasäkerhet, men HDS-noderna behöver ett rotcertifikat så att de litar på proxyn. Inspektioner av proxyservrar används vanligtvis av IT för att verkställa policyer på vilka webbplatser som kan besökas och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all trafik (även HTTPS).
                                                                                                                                                  • Explicit Proxy – Med explicit proxy berättar du för klienten (HDS-noder) vilken proxyserver som ska användas och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – Ett portnummer som proxyn använder för att lyssna efter proxieterad trafik.

                                                                                                                                                    3. Proxyprotokoll– Välj http (visar och kontrollerar alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver stöder.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Inget – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – Används för en HTTP-användaragent för att ange ett användarnamn och lösenord när en begäran görs. Använder Base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP- eller HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                      • Digest – används för att bekräfta kontot innan du skickar känslig information. Tillämpar en hashfunktion på användarnamn och lösenord innan du skickar över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du även ange användarnamn och lösenord.

                                                                                                                                                  Följ nästa steg för en transparent inspektionsproxy, en explicit HTTP-proxy med grundläggande autentisering eller en explicit HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Överför ett rotcertifikat eller ett slutcertifikat och navigera sedan till ett välj rotcertifikatet för proxyn.

                                                                                                                                                  Certifikatet har överförts men inte installerats än eftersom du måste starta om noden för att installera certifikatet. Klicka på chevron-pilen efter certifikatutfärdarens namn för att få mer information eller klicka på Ta bort om du har gjort ett misstag och vill ladda upp filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning för att testa nätverksanslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutningstestet misslyckas visas ett felmeddelande som visar orsaken och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern. Detta tillstånd förväntas i många uttryckliga proxykonfigurationer. Du kan fortsätta med konfigurationen och noden fungerar i läget Blockerad extern DNS-upplösning. Om du tror att detta är ett fel ska du utföra dessa steg och se sedan Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutningstestet har passerat aktiverar du växlingsknappen till Dirigera alla port 443/444 https-förfrågningar från den här noden via den uttryckliga proxyn för uttrycklig proxy. Den här inställningen tar 15 sekunder att träda i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en explicit HTTPS-proxy eller en transparent inspektionsproxy) eller Starta om (visas för en explicit HTTP-proxy), läs instruktionen och klicka sedan på Installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden startas om loggar du in igen om det behövs och öppnar sedan sidan Översikt för att kontrollera anslutningskontrollerna för att se till att de alla är i grön status.

                                                                                                                                                  Proxyanslutningskontrollen testar endast en underdomän för webex.com. Om det finns anslutningsproblem är ett vanligt problem att vissa av molndomänerna som anges i installationsinstruktionerna blockeras vid proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den generiska noden som du skapade i Konfigurera Hybrid Data Security VM, registrerar noden med Webex-molnet och gör den till en Hybrid Data Security-nod.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som har distribuerats för att ge redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  I menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster hittar du Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har ställt in noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för klustret som du vill tilldela din Hybrid-datasäkerhetsnod till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var klusternoderna befinner sig geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Den här IP-adressen eller FQDN ska matcha den IP-adress eller värdnamn och domän som du använde i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som visar att du kan registrera din nod i Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du helt enkelt ytterligare VM:er och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  För närvarande är de säkerhetskopierade VM:er som du har skapat i Slutför förutsättningarna för Hybrid-datasäkerhet standby-värdar som endast används vid katastrofåterställning. De är inte registrerade med systemet förrän då. Mer information finns i Katastrofåterställning med Standby Data Center.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du påbörjar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du börja om.

                                                                                                                                                  • Kontrollera att alla popup-blockerare i webbläsaren är inaktiverade eller att du tillåter ett undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell maskin från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen på den nya VM och upprepa stegen i Konfigurera VM för hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  På den nya VM upprepar du stegen i Ladda upp och montera HDS-konfigurationsISO.

                                                                                                                                                  4

                                                                                                                                                  Om du ställer in en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybridtjänster hittar du kortet Hybrid-datasäkerhet och klickar på Resurser.

                                                                                                                                                    Sidan Resurser för datasäkerhet för hybrid visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som visar att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter några ögonblick omdirigeras du till nodanslutningstesterna för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till Hybrid-datasäkerhetsnod. Där bekräftar du att du vill ge din organisation behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din Hybrid-datasäkerhetsnod och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan Hybrid-datasäkerhet för Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att dina noder genererar ett larm tills du startar en provperiod som indikerar att din tjänst ännu inte är aktiverad.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och flytta till produktion (nästa kapitel)
                                                                                                                                                  Kör en provperiod och flytta till produktion

                                                                                                                                                  Provperiod till produktionsflöde

                                                                                                                                                  När du har konfigurerat ett Hybrid Data Security-kluster kan du starta en pilot, lägga till användare i den och börja använda den för att testa och verifiera din distribution som förberedelse för att gå till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera om tillämpligt HdsTrialGroup gruppobjekt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Starta en provperiod. Tills du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte är aktiverad.

                                                                                                                                                  3

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja HdsTrialGroup gruppobjekt för synkronisering till molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i distributionshandboken för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Starta provperiod i avsnittet Tjänstestatus.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att styra med dina Hybrid-datasäkerhetsnoder för kryptering och indexeringstjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din distribution av hybrid-datasäkerhet

                                                                                                                                                  Använd den här proceduren för att testa krypteringsscenarier för hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att verifiera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklarna för ett visst utrymme ställs in av skaparen av utrymmet. Logga in på Webex-appen som en av pilotanvändarna och skapa ett utrymme och bjuda in minst en pilotanvändare och en icke-pilotanvändare.


                                                                                                                                                   

                                                                                                                                                  Om du inaktiverar distribution av hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att nyckelförfrågningar överförs till din distribution av hybrid-datasäkerhet.

                                                                                                                                                  1. Om du vill söka efter en användare som först upprättar en säker kanal till KMS filtrerar du på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortade för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=KEY:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Om du vill söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller en annan skyddad resurs ska du filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bör hitta en post som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om allt är bra med distributionen av hybrid-datasäkerhet. För mer proaktiva aviseringar kan du registrera dig för e-postaviseringar. Du kommer att meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybridtjänster hittar du Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Hybrid-datasäkerhetsinställningar visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du lägga till eller ta bort provdeltagare när som helst medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära att nycklar och nycklar skapas från molnet KMS istället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnet den åt användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (i stället för den här proceduren) för att hantera provgruppen. HdsTrialGroup; du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provningsläge i området Tjänststatus klickar du på Lägg till användare eller på visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare som ska läggas till eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara.

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är nöjd med att din distribution fungerar bra för provanvändare kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Du kan inte gå tillbaka till provläget från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställningen. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Flytta till produktion i avsnittet Tjänstestatus.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta din provperiod utan att gå till produktion

                                                                                                                                                  Om du under din provperiod bestämmer dig för att inte fortsätta med din distribution av hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändare tillbaka till molndatasäkerhetstjänster. Provanvändare förlorar åtkomst till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd uppgifterna som beskrivs här för att hantera din distribution av hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid Data Security görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt uppgraderingsschemat för klustret. När en programvaruuppgradering blir tillgänglig har du möjlighet att manuellt uppgradera klustret före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat på 3:00 AM Daily United States: Amerika/Los Angeles Du kan också välja att senarelägga en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-tjänster väljer du Hybrid-datasäkerhet på sidan Översikt.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i panelen Översikt till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat på sidan Inställningar under Uppgradering.

                                                                                                                                                  Obs! Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan vid behov skjuta upp uppgraderingen till följande dag genom att klicka på Senarelägga.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av en anledning som:
                                                                                                                                                  • Ändra x.509-certifikat på grund av upphörande eller andra skäl.


                                                                                                                                                     

                                                                                                                                                    Vi stöder inte ändring av CN-domännamnet för ett certifikat. Domänen måste matcha den ursprungliga domänen som används för att registrera klustret.

                                                                                                                                                  • Uppdaterar databasinställningarna för att ändra till en kopia av databasen PostgreSQL eller Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

                                                                                                                                                  • Skapar en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Hybrid Data Security använder även lösenord för tjänstekonton som har en nimånaders livslängd av säkerhetsskäl. När HDS-konfigurationsverktyget genererar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten ”Använd datorkontots API för att uppdatera lösenordet.”) Om dina lösenord inte har löpt ut ännu ger verktyget dig två alternativ:

                                                                                                                                                  • Mjuk återställning – både gamla och nya lösenord fungerar i upp till 10 dagar. Använd denna period för att gradvis ersätta ISO-filen på noderna.

                                                                                                                                                  • Hård återställning – de gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan återställning påverkar det din HDS-tjänst, vilket kräver omedelbar hård återställning och byte av ISO-filen på alla noder.

                                                                                                                                                  Använd den här proceduren för att skapa en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på maskinen för att komma åt den. Konfigurationsprocessen kräver inloggningsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) genom Docker-miljövariabler när du tar upp Docker-behållaren i 1 e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar databasen PostgreSQL eller Microsoft SQL Server. Du behöver ISO när du gör konfigurationsändringar, inklusive databasuppgifter, certifikatuppdateringar eller ändringar i behörighetspolicyn.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. Ange ett lämpligt kommando för din miljö på din dators kommandorad:

                                                                                                                                                    I regelbundna miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Det här steget rensar upp tidigare HDS-konfigurationsverktygsbilder. Om det inte finns några tidigare bilder returneras ett fel som du kan ignorera.

                                                                                                                                                  2. Om du vill logga in på Docker-bildregistret anger du följande:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ange detta hash vid lösenordsinstruktionen:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabila bilden för din miljö:

                                                                                                                                                    I regelbundna miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte skärmarna för lösenordsåterställning.

                                                                                                                                                  5. När pulsen är klar anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I regelbundna miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I regelbundna miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs visas ”Expressserver lyssnar på port 8080”.

                                                                                                                                                  6. Använd en webbläsare för att ansluta till lokaliseringsvärden, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till lokaliseringsvärd via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokaliseringsvärden.

                                                                                                                                                  7. När du uppmanas till det anger du inloggningsuppgifterna för kundinloggning i Control Hub och klickar sedan på Godkänn för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ instruktionerna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    Om du vill stänga av konfigurationsverktyget skriver du CTRL+C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod som körs skapar du en ny VM för hybrid-datasäkerhet och registrerar den med den nya ISO-konfigurationsfilen. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  För befintliga HDS-noder som kör den äldre konfigurationsfilen monterar du ISO-filen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka CD/DVD Drive 1, välj alternativet att montera från en ISO-fil och bläddra till platsen där du hämtade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Stäng av blockerat externt DNS-upplösningsläge

                                                                                                                                                  När du registrerar en nod eller kontrollerar nodens proxykonfiguration testar processen DNS-uppsikt och anslutning till Cisco Webex-molnet. Om nodens DNS-server inte kan lösa offentliga DNS-namn går noden automatiskt till blockerat externt DNS-upplösning.

                                                                                                                                                  Om dina noder kan lösa offentliga DNS-namn via interna DNS-servrar kan du stänga av det här läget genom att köra proxyanslutningstestet på varje nod igen.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan lösa offentliga DNS-namn och att dina noder kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbläsare öppnar du gränssnittet för datasäkerhet för hybrid (till exempel IP-adress/konfiguration, https://192.0.2.0/setup), ange administratörsuppgifterna som du har konfigurerat för noden och klickar sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Gå till Översikt (standardsidan).

                                                                                                                                                  När detta är aktiverat är Blockerad extern DNS-upplösning inställt på Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå till sidan Trust Store och Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klicka på Kontrollera proxyanslutning.

                                                                                                                                                  Om du ser ett meddelande om att extern DNS-upplösning misslyckades kunde noden inte nå DNS-servern och förblir i det här läget. Annars, när du startar om noden och går tillbaka till sidan Översikt, ska blockerad extern DNS-upplösning ställas in på nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa proxyanslutningstestet på varje nod i ditt Hybrid-datasäkerhetskluster.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd den här proceduren för att ta bort en Hybrid-datasäkerhetsnod från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VM-ware vSphere-klienten på din dator för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Resurser för datasäkerhet för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlistan.

                                                                                                                                                  5. På fliken Noder väljer du den nod som du vill ta bort.

                                                                                                                                                  6. Klicka Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  I vsfären tar du bort VM. (I den vänstra navigeringsrutan högerklicka på VM och klicka på Ta bort.)

                                                                                                                                                  Om du inte tar bort VM-filen ska du komma ihåg att ta bort konfigurationsfilen. Utan ISO-filen kan du inte använda VM för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med väntedatacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare inom organisationen som har tilldelats Hybrid Data Security dirigeras begäran om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att lämpliga säkerhetskopior upprätthålls. Förlust av databasen Hybrid Data Security eller av konfigurations-ISO som används för schemat kommer att resultera i OLÖSLIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte är tillgänglig ska du följa denna procedur för att manuellt redogöra för standby-datacentret.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort passiveMode konfiguration för att göra noden aktiv. Noden kan hantera trafik när den har konfigurerats.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Håll säkerhetskopian säker. Den här filen innehåller en huvudkrypteringsnyckel för databasens innehåll. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som ska göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VM-programvaran vSphere-klientens vänstra navigeringsfönster högerklicka på VM och klicka på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagen är markerade så att uppdaterade konfigurationsändringar kan träda i kraft efter att noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm på minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i standby-datacentret.


                                                                                                                                                   

                                                                                                                                                  Kontrollera syslog-utgången för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerat i passivt läge” bör inte visas i sysloggarna.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om det primära datacentret blir aktivt igen efter redundans återställning placerar du datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera standby-datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Ta bort ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO-monterad. Men vissa kunder föredrar att inte lämna ISO-filer monterade kontinuerligt. Du kan ta bort ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via konfigurationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla dina noder har hämtat konfigurationsändringarna kan du ta bort ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm i minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En distribution av hybrid-datasäkerhet anses inte tillgänglig om alla noder i klustret inte kan nås eller om klustret fungerar så långsamt att det kräver timeout. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster upplever de följande symtom:

                                                                                                                                                  • Det går inte att skapa nya utrymmen (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmestilar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (kan inte hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras framgångsrikt så länge deras klienter har en cachelagring av krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster på rätt sätt och omedelbart adresserar eventuella aviseringar för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det finns ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar till organisationsadministratören och skickar e-post till den konfigurerade e-postadressen. Varningarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Gemensamma problem och steg för att lösa dem

                                                                                                                                                  Varning

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomst till lokal databas misslyckades.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem i det lokala nätverket.

                                                                                                                                                  Det gick inte att ansluta till den lokala databasen.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstekontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomst till molntjänsten misslyckades.

                                                                                                                                                  Kontrollera att noderna kan komma åt Webex-servrarna enligt anvisningarna i Krav på extern anslutning.

                                                                                                                                                  Förnyar molntjänstregistrering.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registreringen pågår.

                                                                                                                                                  Molntjänsternas registrering avbröts.

                                                                                                                                                  Registreringen till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är inte aktiverad än.

                                                                                                                                                  Aktivera en provperiod eller avsluta att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att ditt servercertifikat matchar den konfigurerade tjänstaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den initiala konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera att inloggningsuppgifterna för servicekonton är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna filen för lokal keystore.

                                                                                                                                                  Kontrollera integriteten och lösenordsriktigheten i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatmyndighet.

                                                                                                                                                  Det gick inte att posta värden.

                                                                                                                                                  Kontrollera åtkomst till det lokala nätverket till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera konfigurationen av ISO-monteringen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats för att monteras på omstart och att den har monterats.

                                                                                                                                                  Felsöka Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer när du felsöker problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och åtgärda eventuella objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverutgången för aktivitet från distributionen av hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anmärkningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomsten till keystore-databasen kan dina Webex-appanvändare inte längre använda utrymmen under sin Personer-lista som skapades med nycklar från din KMS. Detta gäller både provnings- och produktionsdistributioner. Vi har för närvarande inte någon lösning eller korrigering för det här problemet och vi uppmanar dig att inte stänga dina HDS-tjänster när de hanterar aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (sannolikt en timme). När en användare blir medlem i en provperiod för hybrid-datasäkerhet fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills den tar slut. Alternativt kan användaren logga ut och återgå till Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utan provperiod med befintliga ECDH-anslutningar till tidigare datasäkerhetstjänster kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och tillbaka in).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • ÖppnaSSL är ett verktyg som kan användas för att göra PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta på, och vi stöder inte eller främjar inte ett sätt framför ett annat.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller X.509-certifikatkraven i X.509-certifikatkraven. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera öppenSSL i en miljö som stöds. Se https://www.openssl.org för programvara och dokumentation.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du tar emot servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en certifikatpaket som kallas hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, alla mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera servercertifikatinformationen.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord på uppmaningen att kryptera den privata nyckeln så att den visas i utgången. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du ska använda hdsnode.p12 filen och lösenordet du har ställt in för den i Skapa en ISO-konfiguration för HDS-värdarna.


                                                                                                                                                   

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Samlingstrafik för utgående mätvärden

                                                                                                                                                  Hybrid-datasäkerhetsnoderna skickar vissa värden till Webex-molnet. Dessa inkluderar systemvärden för heap max, använd heap, CPU-belastning och antal trådar, värden för synkroniserade och asynkrona trådar, värden för aviseringar som innebär ett tröskelvärde för krypteringsanslutningar, latens eller längden på en begäran kö, värden för datalagring och krypteringsanslutningsvärden. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Hybrid-datasäkerhetsnoderna får följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderar till nodprogramvaran

                                                                                                                                                  Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  Websocket kan inte ansluta via Squid-proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket ( wss:) anslutningar som Hybrid-datasäkerhet kräver. Dessa avsnitt ger vägledning om hur du konfigurerar olika versioner av Squid för att ignorera wss: trafik för att tjänsterna skall fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktiv till squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testat hybrid-datasäkerhet med följande regler har lagts till i squid.conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdaterar Webex-molnet.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Förord

                                                                                                                                                  Ny och ändrad information

                                                                                                                                                  Datum

                                                                                                                                                  Ändringar som har gjorts

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07:e augusti 2023

                                                                                                                                                  23 maj 2023

                                                                                                                                                  06:e december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop måste köra ett installationsprogram innan du kan installera HDS-noder. Se Krav på Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Observera att du kan återanvända filen med den privata nyckeln och CSR för att begära ett annat certifikat. Mer information finns i Använd OpenSSL för att generera en PKCS12-fil .

                                                                                                                                                  30 april 2021

                                                                                                                                                  Ändrade VM-kravet för lokalt hårddiskutrymme till 30 GB. Se Krav för virtuell värd för mer information.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-konfigurationsverktyget kan nu köras bakom en proxy. Mer information finns i Skapa en ISO-konfiguration för HDS-värdarna .

                                                                                                                                                  2 februari, 2021

                                                                                                                                                  HDS kan nu köras utan en monterad ISO-fil. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Lade till information om verktyget för HDS-konfiguration och proxyservrar för att Skapa en konfiguration-ISO för HDS-värdarna.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Uppdaterade Hämta installationsfiler.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Uppdaterade Skapa en konfiguration ISO för HDS-värdarna och Ändra nodkonfiguration med kommandon för FedRAMP-miljöer.

                                                                                                                                                  14 augusti 2020

                                                                                                                                                  Uppdaterade Skapa en konfiguration-ISO för HDS-värdarna och Ändra nodkonfigurationen med ändringar i inloggningsprocessen.

                                                                                                                                                  5 augusti 2020

                                                                                                                                                  Uppdaterade Testa din Hybrid-datasäkerhetsdistribution för ändringar i loggmeddelanden.

                                                                                                                                                  Uppdaterade Krav för virtuell värd för att ta bort maximalt antal värdar.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Uppdaterade Ta bort en nod för ändringar i användargränssnittet för Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Uppdaterade Skapa en konfiguration ISO för HDS-värdarna för ändringar i de avancerade inställningar som du kan ställa in.

                                                                                                                                                  29 maj 2020

                                                                                                                                                  Uppdaterad Skapa en konfiguration-ISO för HDS-värdarna för att visa att du även kan använda TLS med SQL Server-databaser, ändringar av användargränssnittet och andra klargöranden.

                                                                                                                                                  5 maj 2020

                                                                                                                                                  Uppdaterade krav för virtuell värd för att visa nya krav för ESXi 6.5.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Externa anslutningskrav har uppdaterats med nya Americas CI-värdar.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Externa anslutningskrav har uppdaterats med information om regionala CI-värdar.

                                                                                                                                                  20 februari 2020Uppdaterad Skapa en konfiguration-ISO för HDS-värdar med information om den nya valfria skärmen Avancerade inställningar i HDS-konfigurationsverktyget.
                                                                                                                                                  4 februari 2020Proxyserverkrav har uppdaterats.
                                                                                                                                                  16 december 2019Förtydligade kravet på att Blockerat externt DNS-upplösningsläge ska fungera i Proxyserverkrav.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Lade till information om blockerat externt DNS-upplösningsläge i följande avsnitt:

                                                                                                                                                  8 november 2019

                                                                                                                                                  Du kan nu konfigurera nätverksinställningar för en nod när du distribuerar OVA i stället för efteråt.

                                                                                                                                                  Följande avsnitt uppdaterades i enlighet med detta:

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  6:e september 2019

                                                                                                                                                  Lade till SQL Server Standard i Databasserverkrav.

                                                                                                                                                  29:e augusti 2019Lade till bilagan Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet med vägledning om hur du konfigurerar Squid-proxyservrar för att ignorera websocket-trafik för korrekt drift.
                                                                                                                                                  20:e augusti 2019

                                                                                                                                                  Lade till och uppdaterade avsnitt för proxystöd för kommunikation med datasäkerhetsnod för hybrid till Webex-molnet.

                                                                                                                                                  Se hjälpartikeln Proxysupport för hybrid-datasäkerhet och Webex-videonät för att få åtkomst till endast innehållet i proxysupport för en befintlig distribution.

                                                                                                                                                  13 juni 2019Uppdaterat Uppgiftsflöde för provperiod till produktion med en påminnelse om att synkronisera HdsTrialGroup -gruppobjektet innan en provperiod startas om din organisation använder katalogsynkronisering.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • Korrigerat mängden lokalt hårddiskutrymme per server som du ska avsätta när du förbereder de virtuella värdarna som blir datasäkerhetsnoder för hybrid, från 50-GB till 20-GB, för att återspegla storleken på disken som OVA skapar.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Hybrid-datasäkerhetsnoder har nu stöd för krypterade anslutningar med PostgreSQL-databasservrar och krypterade logganslutningar till en TLS-kompatibel syslog-server. Uppdaterade Skapa en konfiguration-ISO för HDS-värdarna med anvisningar.

                                                                                                                                                  • Destinations-URL:er togs bort från tabellen ”Internetanslutningskrav för VM-datorer för datasäkerhetsnod för hybrid”. Tabellen hänvisar nu till den lista som upprätthålls i tabellen ”Ytterligare URL:er för Webex Teams Hybrid-tjänster” i Nätverkskrav för Webex Teams-tjänster.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybrid-datasäkerhet har nu stöd för Microsoft SQL Server som en databas. SQL Server Always On (redundanskluster för alltid på och tillgänglighetsgrupper för alltid på) stöds av JDBC-drivrutinerna som används i Hybrid-datasäkerhet. Lagt till innehåll relaterat till distribution med SQL Server.

                                                                                                                                                    Stödet för Microsoft SQL Server är endast avsett för nya distributioner av Hybrid-datasäkerhet. Vi stöder för närvarande inte migrering av data från PostgreSQL till Microsoft SQL Server i en befintlig distribution.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 maj 2018

                                                                                                                                                  Ändrade terminologi för att återspegla ommärkningen av Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasäkerhet är nu Hybrid-datasäkerhet.

                                                                                                                                                  • Cisco Spark-appen är nu Webex-appappen.

                                                                                                                                                  • Cisco Collaboraton Cloud är nu Webex-molnet.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav anges att certifikatet inte får vara ett jokertecken och att KMS använder CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Förtydligad katalogsynkronisering av HdsTrialGroup.

                                                                                                                                                  • Åtgärdade anvisningar för uppladdning av ISO-konfigurationsfilen för montering till VM-noderna.

                                                                                                                                                  18 augusti 2017

                                                                                                                                                  Första publicerad

                                                                                                                                                  Kom igång med Hybrid-datasäkerhet

                                                                                                                                                  Översikt över Hybrid-datasäkerhet

                                                                                                                                                  Från dag ett har datasäkerhet varit det primära fokus i utformningen av Webex-appen. Hörnstenen i denna säkerhet är end-to-end-kryptering av innehåll, som aktiveras av Webex-appklienter som interagerar med Key Management Service (KMS). KMS ansvarar för att skapa och hantera krypteringsnycklarna som klienter använder för att dynamiskt kryptera och dekryptera meddelanden och filer.

                                                                                                                                                  Som standard får alla Webex-appkunder slutpunkt-till-slutpunkt-kryptering med dynamiska nycklar som lagras i moln-KMS i Ciscos säkerhetssfär. Hybrid-datasäkerhet flyttar KMS och andra säkerhetsrelaterade funktioner till ditt företagsdatacenter så ingen annan än du har nycklarna till ditt krypterade innehåll.

                                                                                                                                                  Säkerhetsarkitektur

                                                                                                                                                  Webex molnarkitektur separerar olika typer av tjänster i separata sfärer eller betrodda domäner, enligt nedan.

                                                                                                                                                  Separationsrealm (utan Hybrid-datasäkerhet)

                                                                                                                                                  För att ytterligare förstå Hybrid-datasäkerhet ska vi först titta på det här rena molnfallet, där Cisco tillhandahåller alla funktioner i sina molnområden. Identitetstjänsten, den enda plats där användare kan korreleras direkt med sin personliga information som e-postadresser, är logiskt och fysiskt åtskild från säkerhetssfären i datacenter B. Båda är i sin tur åtskilda från sfären där krypterat innehåll lagras i datacenter C.

                                                                                                                                                  I det här diagrammet är klienten Webex-appen som körs på en användares bärbara dator och har autentiserats med identitetstjänsten. När användaren skriver ett meddelande som ska skickas till ett utrymme sker följande steg:

                                                                                                                                                  1. Klienten upprättar en säker anslutning till nyckelhanteringstjänsten (KMS) och begär sedan en nyckel för att kryptera meddelandet. Den säkra anslutningen använder ECDH och KMS krypterar nyckeln med hjälp av en AES-256-huvudnyckel.

                                                                                                                                                  2. Meddelandet krypteras innan det lämnar klienten. Klienten skickar den till indexeringstjänsten, som skapar krypterade sökindex för att underlätta framtida sökningar efter innehållet.

                                                                                                                                                  3. Det krypterade meddelandet skickas till efterlevnadstjänsten för efterlevnadskontroller.

                                                                                                                                                  4. Det krypterade meddelandet lagras i lagringssfären.

                                                                                                                                                  När du distribuerar Hybrid-datasäkerhet flyttar du säkerhetsfunktionerna (KMS, indexering och efterlevnad) till ditt lokala datacenter. De andra molntjänsterna som utgör Webex (inklusive lagring av identitet och innehåll) förblir i Ciscos sfärer.

                                                                                                                                                  Samarbeta med andra organisationer

                                                                                                                                                  Användare i din organisation kan regelbundet använda Webex-appen för att samarbeta med externa deltagare i andra organisationer. När en av dina användare begär en nyckel för ett utrymme som ägs av din organisation (eftersom det har skapats av en av dina användare) skickar KMS nyckeln till klienten via en ECDH-säker kanal. Men när en annan organisation äger nyckeln till utrymmet dirigerar din KMS ut begäran till Webex-molnet via en separat ECDH-kanal för att hämta nyckeln från lämplig KMS och returnerar sedan nyckeln till din användare på den ursprungliga kanalen.

                                                                                                                                                  KMS-tjänsten som körs på Org A validerar anslutningar till KMS i andra organisationer med x.509 PKI-certifikat. Se Förbered din miljö för information om hur du genererar ett x.509-certifikat för användning med din Hybrid-datasäkerhetsdistribution.

                                                                                                                                                  Förväntningar på att distribuera Hybrid-datasäkerhet

                                                                                                                                                  Installationsprocess på hög nivå

                                                                                                                                                  Det här dokumentet beskriver installation och hantering av en datasäkerhetsdistribution för hybrid:

                                                                                                                                                  • Konfigurera Hybrid-datasäkerhet – detta inkluderar förberedelse av nödvändig infrastruktur och installation av programvara för Hybrid-datasäkerhet, testning av din distribution med en undergrupp av användare i provläge och, när testningen är klar, övergång till produktion. Detta konverterar hela organisationen till att använda ditt Hybrid-datasäkerhetskluster för säkerhetsfunktioner.

                                                                                                                                                    Konfigurations-, provnings- och produktionsfaserna beskrivs i detalj i de följande tre kapitlen.

                                                                                                                                                  • Underhålla din distribution av Hybrid-datasäkerhet – Webex-molnet tillhandahåller automatiskt pågående uppgraderingar. Din IT-avdelning kan ge support på nivå ett för den här distributionen och kontakta Cisco-support efter behov. Du kan använda aviseringar på skärmen och konfigurera e-postbaserade aviseringar i Control Hub.

                                                                                                                                                  • Förstå vanliga varningar, felsökningssteg och kända problem – om du har problem med att distribuera eller använda Hybrid-datasäkerhet kan det sista kapitlet i den här guiden och bilagan Kända problem hjälpa dig att fastställa och åtgärda problemet.

                                                                                                                                                  Distributionsmodell för Hybrid-datasäkerhet

                                                                                                                                                  I ditt företags datacenter distribuerar du hybrid-datasäkerhet som ett enda kluster av noder på separata virtuella värdar. Noderna kommunicerar med Webex-molnet via säkra websockets och säker HTTP.

                                                                                                                                                  Under installationsprocessen ger vi dig OVA-filen för att konfigurera den virtuella enheten på de virtuella datorer som du tillhandahåller. Du använder HDS-konfigurationsverktyget för att skapa en anpassad ISO-fil för klusterkonfiguration som du monterar på varje nod. Hybrid-datasäkerhetsklustret använder din angivna Syslogd-server och PostgreSQL- eller Microsoft SQL Server-databas. (Du konfigurerar information om syslogd och databasanslutning i HDS-konfigurationsverktyget.)

                                                                                                                                                  Distributionsmodell för Hybrid-datasäkerhet

                                                                                                                                                  Minsta antal noder du kan ha i ett kluster är två. Vi rekommenderar minst tre per kluster. Att ha flera noder säkerställer att tjänsten inte avbryts under en programvaruuppgradering eller annan underhållsaktivitet på en nod. (Webex-molnet uppgraderar endast en nod i taget.)

                                                                                                                                                  Alla noder i ett kluster har åtkomst till samma nyckeldatalager och loggaktivitet till samma syslog-server. Noderna själva är statslösa och hanterar nyckelförfrågningar i roterande läge, som styrs av molnet.

                                                                                                                                                  Noder blir aktiva när du registrerar dem i Control Hub. Om du vill ta bort en enskild nod från tjänst kan du avregistrera den och senare registrera den om det behövs.

                                                                                                                                                  Vi har endast stöd för ett kluster per organisation.

                                                                                                                                                  Provläge för Hybrid-datasäkerhet

                                                                                                                                                  När du har konfigurerat en distribution av Hybrid-datasäkerhet kan du först prova den med en uppsättning pilotanvändare. Under provperioden använder dessa användare din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra säkerhetstjänster. Dina andra användare fortsätter att använda molnsäkerhetssfären.

                                                                                                                                                  Om du bestämmer dig för att inte fortsätta med distributionen under provperioden och inaktivera tjänsten förlorar pilotanvändarna och alla användare som de har interagerat med genom att skapa nya utrymmen under provperioden åtkomsten till meddelandena och innehållet. De kommer att se ”Det här meddelandet kan inte dekrypteras” i Webex-appen.

                                                                                                                                                  Om du är nöjd med att din distribution fungerar bra för provanvändarna och du är redo att utöka Hybrid-datasäkerhet till alla dina användare flyttar du distributionen till produktion. Pilotanvändare har fortsatt åtkomst till de nycklar som användes under provperioden. Du kan dock inte flytta fram och tillbaka mellan produktionsläge och den ursprungliga provperioden. Om du måste inaktivera tjänsten, till exempel för att utföra katastrofåterställning, måste du starta en ny provperiod och konfigurera pilotanvändare för den nya provperioden innan du går tillbaka till produktionsläge när du återaktiverar den. Om användarna behåller åtkomst till data just nu beror på om du har upprätthållit säkerhetskopieringar av nyckeldatalagret och ISO-konfigurationsfilen för datasäkerhetsnoderna för hybrid i ditt kluster.

                                                                                                                                                  Standby-datacenter för katastrofåterställning

                                                                                                                                                  Under distributionen konfigurerar du ett säkert datacenter för vänteläge. I händelse av en datacenterkatastrof kan du manuellt misslyckas med distributionen till datacentret i vänteläge.

                                                                                                                                                  Före redundans har datacenter A aktiva HDS-noder och den primära PostgreSQL- eller Microsoft SQL Server-databasen, medan B har en kopia av ISO-filen med ytterligare konfigurationer, VM-datorer som är registrerade i organisationen och en databas för vänteläge. Efter redundans har datacenter B aktiva HDS-noder och den primära databasen, medan A har oregistrerade VM-datorer och en kopia av ISO-filen och databasen är i vänteläge.
                                                                                                                                                  Manuell redundans till datacenter för vänteläge

                                                                                                                                                  Databaserna för aktiva datacenter och standby-datacenter är synkroniserade med varandra, vilket minimerar den tid som krävs för att utföra redundans. ISO-filen för datacentret för vänteläge har uppdaterats med ytterligare konfigurationer som säkerställer att noderna är registrerade i organisationen, men inte hanterar trafik. Därför förblir noderna i datacentret i vänteläge alltid uppdaterade med den senaste versionen av HDS-programvaran.

                                                                                                                                                  De aktiva datasäkerhetsnoderna för hybrid måste alltid finnas i samma datacenter som den aktiva databasservern.

                                                                                                                                                  Konfigurera datacenter för vänteläge för katastrofåterställning

                                                                                                                                                  Följ stegen nedan för att konfigurera ISO-filen för datacentret för vänteläge:

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  ISO-filen måste vara en kopia av den ursprungliga ISO-filen för det primära datacenter där följande konfigurationsuppdateringar ska göras.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan för att placera noden i passivt läge. I det här läget kommer noden att registreras hos organisationen och vara ansluten till molnet, men den kommer inte att hantera någon trafik.

                                                                                                                                                   passivläge: ”sant” 

                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VMware vSphere-klientens vänstra navigeringspanel högerklickar du på VM-datorn och klickar på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i datacentret för vänteläge.

                                                                                                                                                  Kontrollera syslog för att verifiera att noderna är i passivt läge. Du bör kunna visa meddelandet ”KMS konfigurerad i passivt läge” i syslog-fälten.

                                                                                                                                                  När du har konfigurerat passiveMode i ISO-filen och sparat den kan du skapa en annan kopia av ISO-filen utan passiveMode -konfigurationen och spara den på en säker plats. Denna kopia av ISO-filen utan konfigurerat PassiveMode kan hjälpa till med en snabb redundansprocess under katastrofåterställning. Se Katastrofåterställning med hjälp av datacenter för vänteläge för detaljerad redundans.

                                                                                                                                                  Proxy-Support

                                                                                                                                                  Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

                                                                                                                                                  Datanoderna för Hybrid har stöd för följande proxyinställningar:

                                                                                                                                                  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

                                                                                                                                                  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

                                                                                                                                                  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

                                                                                                                                                  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

                                                                                                                                                    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

                                                                                                                                                      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

                                                                                                                                                      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

                                                                                                                                                        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösen ordet för varje nod.

                                                                                                                                                      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

                                                                                                                                                        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

                                                                                                                                                        Kräver att du anger användarnamn och lösen ordet för varje nod.

                                                                                                                                                  Exempel på data säkerhets noder och proxy för Hybrid

                                                                                                                                                  Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

                                                                                                                                                  Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

                                                                                                                                                  När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  Krav för Hybrid-datasäkerhet

                                                                                                                                                  Cisco Webex-licenskrav

                                                                                                                                                  Så här distribuerar du Hybrid-datasäkerhet:

                                                                                                                                                  Skrivbordskrav för Docker

                                                                                                                                                  Innan du installerar dina HDS-noder måste du köra ett installationsprogram med Docker Desktop. Docker har nyligen uppdaterat sin licensieringsmodell. Din organisation kan kräva en betald prenumeration på Docker Desktop. Mer information finns i Docker-blogginlägget " Docker uppdaterar och utökar våra produktprenumerationer".

                                                                                                                                                  X.509-certifikatkrav

                                                                                                                                                  Certifikatkedjan måste uppfylla följande krav:

                                                                                                                                                  Tabell 1. X.509-certifikatkrav för Hybrid-datasäkerhetsdistribution

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signerat av en betrodd certifikatutfärdare (CA)

                                                                                                                                                  Som standard litar vi på certifikatutfärdare i Mozilla-listan (med undantag för WoSign och StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har ett gemensamt namn (CN)-domännamn som identifierar din datasäkerhetsdistribution för hybrid

                                                                                                                                                  • Är inte ett jokertecken-certifikat

                                                                                                                                                  CN behöver inte kunna nås eller vara värd live. Vi rekommenderar att du använder ett namn som återspeglar din organisation, till exempel hds.företag.com.

                                                                                                                                                  CN får inte innehålla ett * (jokertecken).

                                                                                                                                                  CN används för att verifiera datasäkerhetsnoderna för hybrid till Webex-appklienter. Alla Hybrid-datasäkerhetsnoder i ditt kluster använder samma certifikat. Din KMS identifierar sig med hjälp av CN-domänen, inte någon domän som definieras i x.509v3 SAN-fälten.

                                                                                                                                                  När du har registrerat en nod med detta certifikat stöder vi inte ändring av CN-domännamnet. Välj en domän som kan gälla för både provperiods- och produktionsdistributioner.

                                                                                                                                                  • Signatur utan SHA1

                                                                                                                                                  KMS-programvaran stöder inte SHA1-signaturer för att validera anslutningar till andra organisationers KMS.

                                                                                                                                                  • Formaterat som en lösenordsskyddad PKCS #12-fil

                                                                                                                                                  • Använd det vänliga namnet på kms-private-key för att tagga certifikatet, privat nyckel och eventuella mellanliggande certifikat att ladda upp.

                                                                                                                                                  Du kan använda en konverterare som OpenSSL för att ändra certifikatets format.

                                                                                                                                                  Du måste ange lösenordet när du kör HDS-konfigurationsverktyget.

                                                                                                                                                  KMS-programvaran tillämpar inte begränsningar för nyckelanvändning eller utökade nyckelanvändningsbegränsningar. Vissa certifikatutfärdare kräver att utökade användningsbegränsningar för nycklar tillämpas på varje certifikat, till exempel serverautentisering. Det är okej att använda serverautentisering eller andra inställningar.

                                                                                                                                                  Krav för virtuell värd

                                                                                                                                                  De virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster har följande krav:

                                                                                                                                                  • Minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter

                                                                                                                                                  • VMware ESXi 6.5 (eller senare) installeras och körs.

                                                                                                                                                    Du måste uppgradera om du har en tidigare version av ESXi.

                                                                                                                                                  • Minst 4 vCPU:er, 8 GB huvudminne, 30 GB lokalt hårddiskutrymme per server

                                                                                                                                                  Krav på databasserver

                                                                                                                                                  Skapa en ny databas för nyckellagring. Använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.

                                                                                                                                                  Det finns två alternativ för databasservern. Kraven för var och en av dem är följande:

                                                                                                                                                  Tabell 2. Krav på databasserver efter typ av databas

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installerad och körs.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installerad.

                                                                                                                                                    SQL Server 2016 kräver Service Pack 2 och kumulativ uppdatering 2 eller senare.

                                                                                                                                                  Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  Minst 8 vCPU:er, 16 GB huvudminne, tillräckligt med hårddiskutrymme och övervakning för att säkerställa att det inte överskrids (2 TB rekommenderas om du vill köra databasen under lång tid utan att behöva öka lagringsutrymmet)

                                                                                                                                                  HDS-programvaran installerar för närvarande följande drivrutinsversioner för kommunikation med databasservern:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC-drivrutin 42.2.5

                                                                                                                                                  SQL Server JDBC-drivrutin 4.6

                                                                                                                                                  Den här drivrutinen har stöd för SQL Server Always On (Always On Failover Cluster Instance och Always On tillgänglighetsgrupper).

                                                                                                                                                  Ytterligare krav för Windows-autentisering mot Microsoft SQL Server

                                                                                                                                                  Om du vill att HDS-noder ska använda Windows-autentisering för att få åtkomst till din keystore-databas på Microsoft SQL Server behöver du följande konfiguration i din miljö:

                                                                                                                                                  • Alla HDS-noder, Active Directory-infrastruktur och MS SQL Server måste synkroniseras med NTP.

                                                                                                                                                  • Det Windows-konto som du tillhandahåller till HDS-noder måste ha läs-/skrivbehörighet till databasen.

                                                                                                                                                  • DNS-servrarna som du tillhandahåller till HDS-noderna måste kunna lösa ditt Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrera HDS-databasinstansen på din Microsoft SQL-server som ett Service Principal Name (SPN) i din Active Directory. Se Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar.

                                                                                                                                                    HDS-konfigurationsverktyget, HDS-startaren och lokal KMS måste alla använda Windows-autentisering för att komma åt keystore-databasen. De använder informationen från din ISO-konfiguration för att skapa SPN när de begär åtkomst med Kerberos-autentisering.

                                                                                                                                                  Krav på extern anslutning

                                                                                                                                                  Konfigurera brandväggen så att följande anslutning tillåts för HDS-programmen:

                                                                                                                                                  Program

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Riktning från appen

                                                                                                                                                  Destination

                                                                                                                                                  Datasäkerhetsnoder för hybrid

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS och WSS

                                                                                                                                                  • Webex-servrar:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alla värdar för Common Identity

                                                                                                                                                  • Andra URL:er som är listade för Hybrid-datasäkerhet i tabellen Ytterligare URL:er för Webex Hybrid-tjänster i Nätverkskrav för Webex-tjänster

                                                                                                                                                  Inställningsverktyg för HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alla värdar för Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Datasäkerhetsnoderna för hybrid fungerar med NAT (Network Access Translation) eller bakom en brandvägg, så länge NAT eller brandväggen tillåter de nödvändiga utgående anslutningarna till domändestinationerna i tabellen ovan. För anslutningar som går in till datasäkerhetsnoderna för hybrid bör inga portar vara synliga från internet. I ditt datacenter behöver klienterna åtkomst till datasäkerhetsnoderna för hybrid på TCP-portarna 443 och 22, av administrativa skäl.

                                                                                                                                                  URL:erna till värdarna för Common Identity (CI) är regionspecifika. Dessa är de aktuella CI-värdarna:

                                                                                                                                                  Region

                                                                                                                                                  URL:er för Common Identity Host

                                                                                                                                                  Nord- och Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europeiska unionen

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy Server krav

                                                                                                                                                  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

                                                                                                                                                    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

                                                                                                                                                    • Explicit proxy – squid.

                                                                                                                                                      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

                                                                                                                                                  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

                                                                                                                                                    • Ingen autentisering med HTTP eller HTTPS

                                                                                                                                                    • Grundläggande autentisering med HTTP eller HTTPS

                                                                                                                                                    • Digest-autentisering med endast HTTPS

                                                                                                                                                  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

                                                                                                                                                  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

                                                                                                                                                  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

                                                                                                                                                  Uppfyll förutsättningarna för Hybrid-datasäkerhet

                                                                                                                                                  Använd den här checklistan för att säkerställa att du är redo att installera och konfigurera ditt Hybrid-datasäkerhetskluster.
                                                                                                                                                  1

                                                                                                                                                  Se till att din Webex-organisation är aktiverad för Pro-paketet för Cisco Webex Control Hub och få inloggningsuppgifterna för ett konto med fullständiga rättigheter till organisationsadministratör. Kontakta din Cisco-partner eller kontoansvarige för att få hjälp med den här processen.

                                                                                                                                                  2

                                                                                                                                                  Välj ett domännamn för din HDS-distribution (till exempel hds.company.com) och hämta en certifikatkedja som innehåller ett X.509-certifikat, en privat nyckel och eventuella mellanliggande certifikat. Certifikatkedjan måste uppfylla kraven i X.509-certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Förbered identiska virtuella värdar som du konfigurerar som datasäkerhetsnoder för hybrid i ditt kluster. Du behöver minst två separata värdar (3 rekommenderade) placerade i samma säkra datacenter som uppfyller kraven i Krav för virtuell värd.

                                                                                                                                                  4

                                                                                                                                                  Förbered databasservern som ska fungera som nyckeldatalagring för klustret i enlighet med kraven för databasservern. Databasservern måste placeras i det säkra datacentret med de virtuella värdarna.

                                                                                                                                                  1. Skapa en databas för nyckellagring. (Du måste skapa den här databasen – använd inte standarddatabasen. HDS-programmen skapar databasschemat när de har installerats.)

                                                                                                                                                  2. Samla in den information som noderna kommer att använda för att kommunicera med databasservern:

                                                                                                                                                    • värdnamnet eller IP-adressen (värd) och porten

                                                                                                                                                    • namnet på databasen (dbname) för nyckellagring

                                                                                                                                                    • användarnamn och lösenord för en användare med alla privilegier i databasen för nyckellagring

                                                                                                                                                  5

                                                                                                                                                  För snabb katastrofåterställning ska du konfigurera en säkerhetskopieringsmiljö i ett annat datacenter. Säkerhetskopieringsmiljön speglar produktionsmiljön för virtuella datorer och en säkerhetskopieringsserver. Om produktionen till exempel har 3 VM-datorer som kör HDS-noder bör säkerhetskopieringsmiljön ha 3 VM-datorer.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera en syslog-värd för att samla in loggar från noderna i klustret. Samla in nätverksadressen och syslog-porten (standard är UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Skapa en säker policy för säkerhetskopiering av datasäkerhetsnoderna för hybrid, databasservern och syslog-värden. Som ett minimum måste du säkerhetskopiera databasen och den ISO-konfigurationsfil som genererats för datasäkerhetsnoderna för hybrid.

                                                                                                                                                  Eftersom hybrid-datasäkerhetsnoderna lagrar nycklarna som används vid kryptering och dekryptering av innehåll, leder underlåtenhet att upprätthålla en operativ distribution till att OÅTERKALLELIG FÖRLUST av innehållet.

                                                                                                                                                  Webex-appklienter cachelagrar sina nycklar, så ett avbrott kanske inte upptäcks omedelbart men kommer att bli uppenbart med tiden. Tillfälliga avbrott är omöjliga att förhindra, men de kan återställas. Fullständig förlust (inga säkerhetskopior tillgängliga) av antingen databasen eller konfigurationsfilen leder dock till oåterkalleliga kunddata. Operatörerna av datasäkerhetsnoderna för hybrid förväntas upprätthålla frekventa säkerhetskopieringar av databasen och konfigurationsfilen och vara redo att återskapa datacentret för hybrid-datasäkerhet om ett katastroffel inträffar.

                                                                                                                                                  8

                                                                                                                                                  Kontrollera att brandväggskonfigurationen tillåter anslutning för dina datasäkerhetsnoder för hybrid enligt beskrivningen i Krav på extern anslutning.

                                                                                                                                                  9

                                                                                                                                                  Installera Docker ( https://www.docker.com) på en lokal dator som kör ett operativsystem som stöds (Microsoft Windows 10 Professional eller Enterprise 64-bitars eller Mac OSX Yosemite 10.10.3 eller senare) med en webbläsare som kan komma åt det på http://127.0.0.1:8080.

                                                                                                                                                  Du använder Docker-instansen för att hämta och köra HDS-konfigurationsverktyget, som bygger den lokala konfigurationsinformationen för alla datasäkerhetsnoder för hybrid. Din organisation kan behöva en Docker Desktop-licens. Se Krav på Docker Desktop för mer information.

                                                                                                                                                  För att installera och köra HDS-konfigurationsverktyget måste den lokala datorn ha den anslutning som beskrivs i Krav på extern anslutning.

                                                                                                                                                  10

                                                                                                                                                  Om du integrerar en proxy med Hybrid-datasäkerhet ska du se till att den uppfyller kraven för proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Om din organisation använder katalogsynkronisering skapar du en grupp i Active Directory som heter HdsTrialGroup och lägger till pilotanvändare. Provgruppen kan ha upp till 250 användare. HdsTrialGroup -objektet måste synkroniseras med molnet innan du kan starta en provperiod för din organisation. För att synkronisera ett gruppobjekt väljer du det i kataloganslutningens meny Konfiguration > Objektval . (Detaljerade anvisningar finns i Distributionsguide för Cisco Directory Connector.)

                                                                                                                                                  Nycklar för ett givet utrymme ställs in av utrymmets skapare. När du väljer pilotanvändare bör du tänka på att om du bestämmer dig för att inaktivera distributionen av Hybrid-datasäkerhet permanent förlorar alla användare åtkomst till innehåll i de utrymmen som har skapats av pilotanvändarna. Förlusten syns så snart användarnas appar uppdaterar sina cachelagrade kopior av innehållet.

                                                                                                                                                  Konfigurera ett datasäkerhetskluster för hybrid

                                                                                                                                                  Uppgiftsflöde för distribution av Hybrid-datasäkerhet

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Förbered din miljö

                                                                                                                                                  1

                                                                                                                                                  Utför initial konfiguration och hämta installationsfiler

                                                                                                                                                  Hämta OVA-filen till din lokala dator för senare användning.

                                                                                                                                                  2

                                                                                                                                                  Skapa en konfiguration-ISO för HDS-värdarna

                                                                                                                                                  Använd HDS-konfigurationsverktyget för att skapa en ISO-konfigurationsfil för datasäkerhetsnoderna för hybrid.

                                                                                                                                                  3

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Skapa en virtuell dator från OVA-filen och utför inledande konfiguration, t.ex. nätverksinställningar.

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera VM för datasäkerhet för hybrid

                                                                                                                                                  Logga in på VM-konsolen och ange inloggningsuppgifterna. Konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  5

                                                                                                                                                  Ladda upp och montera ISO för HDS-konfiguration

                                                                                                                                                  Konfigurera VM-datorn från ISO-konfigurationsfilen som du har skapat med HDS-konfigurationsverktyget.

                                                                                                                                                  6

                                                                                                                                                  Konfigurera HDS-noden för proxy-integrering

                                                                                                                                                  Om nätverksmiljön kräver proxykonfiguration anger du vilken typ av proxy du ska använda för noden och lägger till proxycertifikatet i den betrodda lagringen om det behövs.

                                                                                                                                                  7

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Registrera den virtuella datorn med Cisco Webex-molnet som en datasäkerhetsnod för hybrid.

                                                                                                                                                  8

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Slutför klusterkonfigurationen.

                                                                                                                                                  9

                                                                                                                                                  Kör en provperiod och gå till produktion (nästa kapitel)

                                                                                                                                                  Innan du påbörjar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte har aktiverats.

                                                                                                                                                  Hämta installationsfiler

                                                                                                                                                  I den här uppgiften hämtar du en OVA-fil till datorn (inte till de servrar som du konfigurerar som datasäkerhetsnoder för hybrid). Du använder den här filen senare i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och klicka sedan på Tjänster.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybrid-tjänster letar du upp Hybrid-datasäkerhetskortet och klickar sedan på Konfigurera.

                                                                                                                                                  Om kortet är inaktiverat eller om du inte ser det kontaktar du ditt kontoteam eller din partnerorganisation. Ge dem ditt kontonummer och be din organisation aktivera datasäkerhet för hybrid. För att hitta kontonumret klickar du på kugghjulet längst upp till höger bredvid ditt organisationsnamn.

                                                                                                                                                  Du kan också när som helst hämta OVA från avsnittet Hjälp på sidan Inställningar . På Hybrid-datasäkerhetskortet klickar du på Redigera inställningar för att öppna sidan. Klicka sedan på Hämta programvara för hybrid-datasäkerhet i avsnittet Hjälp .

                                                                                                                                                  Äldre versioner av programpaketet (OVA) kommer inte att vara kompatibla med de senaste uppgraderingarna av Hybrid-datasäkerhet. Detta kan leda till problem vid uppgradering av programmet. Se till att du hämtar den senaste versionen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Välj Nej för att indikera att du inte har konfigurerat noden än och klicka sedan på Nästa.

                                                                                                                                                  OVA-filen börjar automatiskt hämtningen. Spara filen på en plats på datorn.
                                                                                                                                                  4

                                                                                                                                                  Du kan även klicka på Öppna distributionsguide för att kontrollera om det finns en senare version av guiden tillgänglig.

                                                                                                                                                  Skapa en konfiguration-ISO för HDS-värdarna

                                                                                                                                                  Konfigurationsprocessen för Hybrid-datasäkerhet skapar en ISO-fil. Du kan sedan använda ISO för att konfigurera din Hybrid-datasäkerhetsvärd.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariablerna när du hämtar Docker-behållaren i steg 5. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxyserver utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

                                                                                                                                                    HTTPS-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen som du genererar innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver den senaste kopian av den här filen när du gör konfigurationsändringar, som dessa:

                                                                                                                                                    • Inloggningsuppgifter för databas

                                                                                                                                                    • Certifikatuppdateringar

                                                                                                                                                    • Ändringar i behörighetspolicyn

                                                                                                                                                  • Om du planerar att kryptera databasanslutningar konfigurerar du din PostgreSQL- eller SQL Server-distribution för TLS.

                                                                                                                                                  1

                                                                                                                                                  På din dators kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-inställning: stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp: stable

                                                                                                                                                  Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

                                                                                                                                                  2

                                                                                                                                                  För att logga in på Docker-bildregistret anger du följande:

                                                                                                                                                  docker inloggning -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Vid lösenordsupp prompten anger du detta hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Hämta den senaste stabil bild för din miljö:

                                                                                                                                                  I vanliga miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-inställning: stable

                                                                                                                                                  I FedRAMP-miljöer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp: stable
                                                                                                                                                  5

                                                                                                                                                  När pull-in är slutförd anger du lämpligt kommando för din miljö:

                                                                                                                                                  • I vanliga miljöer utan proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanliga miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljöer utan proxy:

                                                                                                                                                    docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  När behållaren körs ser du "Expressserverlyssning på port 8080".

                                                                                                                                                  6

                                                                                                                                                  Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

                                                                                                                                                  Använd en webbläsare för att gå till den lokala värden http://127.0.0.1:8080 och ange användarnamnet för kundadministratören för Control Hub när du uppmanas till det.

                                                                                                                                                  Verktyget använder den här första posten i användarnamnet för att ställa in rätt miljö för kontot. Verktyget visar sedan standardinloggningsmeddelandet.

                                                                                                                                                  7

                                                                                                                                                  När du uppmanas till det anger du inloggningsuppgifterna för kundadministratören i Control Hub och klickar sedan på Logga in för att ge åtkomst till de tjänster som krävs för Hybrid-datasäkerhet.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Kom igång på översiktssidan för konfigurationsverktyget.

                                                                                                                                                  9

                                                                                                                                                  På sidan ISO-import har du följande alternativ:

                                                                                                                                                  • Nej – om du skapar din första HDS-nod har du ingen ISO-fil att ladda upp.
                                                                                                                                                  • Ja – om du redan har skapat HDS-noder väljer du din ISO-fil i bläddraren och överför den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollera att ditt X.509-certifikat uppfyller kraven i X.509-certifikatkrav.

                                                                                                                                                  • Om du aldrig har överfört ett certifikat tidigare överför du X.509-certifikatet, anger lösenordet och klickar på Fortsätt.
                                                                                                                                                  • Om certifikatet är OK klickar du på Fortsätt.
                                                                                                                                                  • Om ditt certifikat har gått ut eller om du vill ersätta det väljer du Nej för Fortsätt använda HDS-certifikatkedja och privat nyckel från tidigare ISO?. Ladda upp ett nytt X.509-certifikat, ange lösenordet och klicka på Fortsätt.
                                                                                                                                                  11

                                                                                                                                                  Ange databasadressen och kontot för HDS för att få åtkomst till ditt nyckeldatalager:

                                                                                                                                                  1. Välj din databastyp (PostgreSQL eller Microsoft SQL Server).

                                                                                                                                                    Om du väljer Microsoft SQL Server får du ett fält för autentiseringstyp.

                                                                                                                                                  2. (Endast Microsoft SQL Server ) Välj din autentiseringstyp:

                                                                                                                                                    • Grundläggande autentisering: Du behöver ett lokalt SQL Server-kontonamn i fältet Användarnamn .

                                                                                                                                                    • Windows-autentisering: Du behöver ett Windows-konto i formatet användarnamn@DOMÄN i fältet Användarnamn .

                                                                                                                                                  3. Ange databasserveradressen i formatet : eller :.

                                                                                                                                                    Exempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan använda en IP-adress för grundläggande autentisering om noderna inte kan använda DNS för att lösa värdnamnet.

                                                                                                                                                    Om du använder Windows-autentisering måste du ange ett fullständigt kvalificerat domännamn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Ange databasnamnet.

                                                                                                                                                  5. Ange Användarnamn och Lösenord för en användare med alla privilegier i databasen för nyckellagring.

                                                                                                                                                  12

                                                                                                                                                  Välj ett anslutningsläge för TLS-databasen:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivning

                                                                                                                                                  Föredra TLS (standardalternativ)

                                                                                                                                                  HDS-noder kräver inte att TLS ansluter till databasservern. Om du aktiverar TLS på databasservern försöker noderna med en krypterad anslutning.

                                                                                                                                                  Kräver TLS

                                                                                                                                                  HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  Kräv TLS och verifiera certifikat signering

                                                                                                                                                  Det här läget är inte tillämpligt för SQL Server-databaser.

                                                                                                                                                  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

                                                                                                                                                  Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

                                                                                                                                                  Kräv TLS och verifiera certifikat signering och värdnamn

                                                                                                                                                  • HDS-noder ansluter endast om databasservern kan förhandla om TLS.

                                                                                                                                                  • När en TLS-anslutning har upprättats jämför noden certifikatets undertecknare från databasservern med certifikatutfärdaren i Databasrotcertifikatet. Om noden inte matchar sänker noden anslutningen.

                                                                                                                                                  • Noderna verifierar också att värdnamnet i servercertifikatet matchar värdnamnet i fältet Databasvärd och -port . Namnen måste matcha exakt, eller så tappar noden anslutningen.

                                                                                                                                                  Använd databaskontrollen rotcertifikat rullgarding för att ladda upp rotcertifikat det här alternativet.

                                                                                                                                                  När du överför rotcertifikatet (om det behövs) och klickar på Fortsätt, testar HDS-konfigurationsverktyget TLS-anslutningen till databasservern. Verktyget verifierar om tillämpligt certifikatutfärdaren och värdnamnet. Om ett test misslyckas visar verktyget ett felmeddelande som beskriver problemet. Du kan välja om du vill ignorera felet och fortsätta med installationen. (På grund av anslutningsskillnader kan det hända att HDS-noderna kan upprätta TLS-anslutningen även om maskinen för HDS-konfigurationsverktyget inte kan testa den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurera din Syslogd-server på sidan Systemloggar:

                                                                                                                                                  1. Ange URL för syslog-servern.

                                                                                                                                                    Om servern inte är DNS-lösbar från noderna till ditt HDS-kluster ska du använda en IP-adress i URL:en.

                                                                                                                                                    Exempel:
                                                                                                                                                    udp://10.92.43.23:514 indikerar loggning till Syslogd-värd 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Om du konfigurerar servern för TLS-kryptering markerar du Är din syslog-server konfigurerad för SSL-kryptering?.

                                                                                                                                                    Om du markerar den här kryssrutan ska du ange en TCP-URL som tcp://10.92.43.23:514.

                                                                                                                                                  3. Från rullgardinsmenyn Välj avslutning av syslog-post väljer du lämplig inställning för din ISO-fil: Välj eller använd ny linje för Graylog och Rsyslog TCP

                                                                                                                                                    • Null byte -- 00

                                                                                                                                                    • Nyrad -- \n – Välj det här alternativet för Graylog och Rsyslog TCP.

                                                                                                                                                  4. Klicka på Fortsätt.

                                                                                                                                                  14

                                                                                                                                                  (Valfritt) Du kan ändra standardvärdet för vissa parametrar för databasanslutning i Avancerade inställningar. I allmänhet är den här parametern den enda som du vill ändra:

                                                                                                                                                  app_datasource_connection_pool_maxStorlek: 10
                                                                                                                                                  15

                                                                                                                                                  Klicka på Fortsätt på skärmen Återställ lösenord för tjänstkonton .

                                                                                                                                                  Lösenord för tjänstekonto har en livslängd på nio månader. Använd den här skärmen när dina lösenord snart upphör att gälla eller om du vill återställa dem till ogiltiga tidigare ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klicka på Hämta ISO-fil. Spara filen på en plats som är lätt att hitta.

                                                                                                                                                  17

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system.

                                                                                                                                                  Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

                                                                                                                                                  18

                                                                                                                                                  Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Säkerhetskopiera ISO-konfigurationsfilen. Du behöver det för att skapa fler noder för återställning eller för att göra konfigurationsändringar. Om du förlorar alla kopior av ISO-filen har du även förlorat huvudnyckeln. Det går inte att återställa nycklarna från din PostgreSQL- eller Microsoft SQL Server-databas.

                                                                                                                                                  Vi har aldrig en kopia av den här nyckeln och kan inte hjälpa om du förlorar den.

                                                                                                                                                  Installera HDS-värd-OVA

                                                                                                                                                  Använd denna procedur för att skapa en virtuell dator från OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden.

                                                                                                                                                  2

                                                                                                                                                  Välj Arkiv > Distribuera OVF-mall.

                                                                                                                                                  3

                                                                                                                                                  I guiden anger du platsen för OVA-filen som du hämtade tidigare och klickar sedan på Nästa.

                                                                                                                                                  4

                                                                                                                                                  På sidan Välj ett namn och mapp anger du ett virtuellt datornamn för noden (till exempel ”HDS_Node_1”), väljer en plats där distributionen av den virtuella datornoden kan finnas och klickar sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  På sidan Välj en beräkningsresurs väljer du destinationens beräkningsresurs och klickar sedan på Nästa.

                                                                                                                                                  En valideringskontroll körs. När den är klar visas mallinformationen.

                                                                                                                                                  6

                                                                                                                                                  Verifiera mallinformationen och klicka sedan på Nästa.

                                                                                                                                                  7

                                                                                                                                                  Om du blir ombedd att välja resurskonfiguration på sidan Konfiguration klickar du på 4 CPU och sedan på Nästa.

                                                                                                                                                  8

                                                                                                                                                  På sidan Välj lagring klickar du på Nästa för att godkänna standarddiskformatet och VM-lagringspolicyn.

                                                                                                                                                  9

                                                                                                                                                  På sidan Välj nätverk väljer du nätverksalternativet i listan över poster för att tillhandahålla önskad anslutning till VM-datorn.

                                                                                                                                                  10

                                                                                                                                                  Konfigurera följande nätverksinställningar på sidan Anpassa mall :

                                                                                                                                                  • Värdnamn – ange FQDN (värdnamn och domän) eller ett enda ord värdnamn för noden.
                                                                                                                                                    • Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                    • För att säkerställa en lyckad registrering i molnet ska du endast använda gemener i det FQDN eller värdnamn som du har angett för noden. Det finns för närvarande inget stöd för versalisering.

                                                                                                                                                    • Den totala längden på FQDN får inte överskrida 64 tecken.

                                                                                                                                                  • IP-adress – ange IP-adressen för nodens interna gränssnitt.

                                                                                                                                                    Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  • Mask – Ange nätmaskens adress med decimalnotation. Till exempel 255.255.255.0.
                                                                                                                                                  • Gateway – ange gatewayens IP-adress. En gateway är en nätverksnod som fungerar som åtkomstpunkt till ett annat nätverk.
                                                                                                                                                  • DNS-servrar – Ange en kommaseparerad lista över DNS-servrar som hanterar översättning av domännamn till numeriska IP-adresser. (Upp till fyra DNS-poster tillåts.)
                                                                                                                                                  • NTP-servrar – ange organisationens NTP-server eller en annan extern NTP-server som kan användas i organisationen. Standard-NTP-servrarna kanske inte fungerar för alla företag. Du kan även använda en kommaavgränsad lista för att ange flera NTP-servrar.
                                                                                                                                                  • Distribuera alla noder på samma subnät eller VLAN så att alla noder i ett kluster kan nås från klienter i nätverket för administrativa ändamål.

                                                                                                                                                  Om du vill kan du hoppa över konfigurationen av nätverksinställningar och följa stegen i Konfigurera VM för hybrid-datasäkerhet för att konfigurera inställningarna från nodkonsolen.

                                                                                                                                                  Alternativet att konfigurera nätverksinställningar under OVA-distributionen har testats med ESXi 6.5. Alternativet kanske inte är tillgängligt i tidigare versioner.

                                                                                                                                                  11

                                                                                                                                                  Högerklicka på nodens VM och välj sedan Ström > Slå på.

                                                                                                                                                  Hybrid-datasäkerhetsprogramvaran installeras som gäst på VM-värden. Du är nu redo att logga in på konsolen och konfigurera noden.

                                                                                                                                                  Felsökningstips

                                                                                                                                                  Du kan uppleva en fördröjning på några minuter innan nodbehållarna dyker upp. Ett brons brandväggsmeddelande visas på konsolen vid första starten, då du inte kan logga in.

                                                                                                                                                  Konfigurera VM för datasäkerhet för hybrid

                                                                                                                                                  Använd denna procedur för att logga in på VM-konsolen för datasäkerhetsnod för hybrid för första gången och ange inloggningsuppgifterna. Du kan även använda konsolen för att konfigurera nätverksinställningarna för noden om du inte konfigurerade dem vid tidpunkten för OVA-distributionen.

                                                                                                                                                  1

                                                                                                                                                  I VMware vSphere-klienten väljer du VM för datasäkerhetsnod för hybrid och väljer fliken Konsol .

                                                                                                                                                  VM-datorn startas och en inloggningsuppmaning visas. Om inloggningsuppmaningen inte visas trycker du på Retur.
                                                                                                                                                  2

                                                                                                                                                  Använd följande standardinloggning och lösenord för att logga in och ändra inloggningsuppgifterna:

                                                                                                                                                  1. Inloggning: Administratör

                                                                                                                                                  2. Lösenord: cisco

                                                                                                                                                  Eftersom du loggar in på din VM för första gången måste du ändra administratörslösenordet.

                                                                                                                                                  3

                                                                                                                                                  Om du redan har konfigurerat nätverksinställningarna i Installera HDS Host OVA hoppar du över resten av den här proceduren. Annars väljer du alternativet Redigera konfiguration på huvudmenyn.

                                                                                                                                                  4

                                                                                                                                                  Konfigurera en statisk konfiguration med IP-adress, mask, gateway och DNS-information. Noden bör ha en intern IP-adress och DNS-namn. DHCP stöds inte.

                                                                                                                                                  5

                                                                                                                                                  (Valfritt) Ändra värdnamn, domän eller NTP-servrar om det behövs för att matcha din nätverkspolicy.

                                                                                                                                                  Du behöver inte ställa in domänen så att den matchar domänen som du använde för att erhålla X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Spara nätverkskonfigurationen och starta om VM-datorn så att ändringarna börjar gälla.

                                                                                                                                                  Ladda upp och montera ISO för HDS-konfiguration

                                                                                                                                                  Använd denna procedur för att konfigurera den virtuella datorn från ISO-filen som du skapade med HDS-konfigurationsverktyget.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Eftersom ISO-filen innehåller huvudnyckeln bör den endast exponeras för ”behöver veta” för åtkomst av virtuella datorer för hybrid-datasäkerhet och alla administratörer som kan behöva göra ändringar. Se till att endast dessa administratörer kan komma åt datalagret.

                                                                                                                                                  1

                                                                                                                                                  Ladda upp ISO-filen från datorn:

                                                                                                                                                  1. Klicka på ESXi-servern i VMware vSphere-klientens vänstra navigeringspanel.

                                                                                                                                                  2. På fliken Konfiguration klickar du på Lagring.

                                                                                                                                                  3. Högerklicka på datalagret för dina VM-datorer i listan Datalager och klicka på Bläddra i datalager.

                                                                                                                                                  4. Klicka på ikonen Överför filer och klicka sedan på Överför fil.

                                                                                                                                                  5. Bläddra till den plats där du hämtade ISO-filen på datorn och klicka på Öppna.

                                                                                                                                                  6. Klicka på Ja för att godkänna varningen om uppladdning/hämtning och stäng dialogrutan för datalagring.

                                                                                                                                                  2

                                                                                                                                                  Montera ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  2. Klicka på OK för att godkänna varningen om begränsade redigeringsalternativ.

                                                                                                                                                  3. Klicka på CD/DVD-enhet 1, välj alternativet att montera från en ISO-fil för datalager och bläddra till den plats där du överförde ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Ansluten och Anslut vid påslagen.

                                                                                                                                                  5. Spara ändringarna och starta om den virtuella datorn.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Om din IT-policy kräver kan du avmontera ISO-filen när alla noder har hämtat konfigurationsändringarna. Se (valfritt) Avmontera ISO efter HDS-konfiguration för mer information.

                                                                                                                                                  Konfigurera HDS-noden för proxy-integrering

                                                                                                                                                  Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  1

                                                                                                                                                  Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

                                                                                                                                                  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
                                                                                                                                                  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
                                                                                                                                                  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
                                                                                                                                                  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
                                                                                                                                                    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

                                                                                                                                                    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

                                                                                                                                                    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

                                                                                                                                                    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

                                                                                                                                                      • Ingen – Ingen ytterligare autentisering krävs.

                                                                                                                                                        Tillgängligt för HTTP-och HTTPS-proxyservrar.

                                                                                                                                                      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

                                                                                                                                                        Tillgängligt för HTTP-och HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

                                                                                                                                                      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

                                                                                                                                                        Endast tillgängligt för HTTPS-proxyservrar.

                                                                                                                                                        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

                                                                                                                                                  Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

                                                                                                                                                  Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

                                                                                                                                                  Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

                                                                                                                                                  Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

                                                                                                                                                  5

                                                                                                                                                  När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

                                                                                                                                                  6

                                                                                                                                                  Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

                                                                                                                                                  Noden startas om inom några minuter.

                                                                                                                                                  7

                                                                                                                                                  När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

                                                                                                                                                  Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

                                                                                                                                                  Registrera den första noden i klustret

                                                                                                                                                  Den här uppgiften tar den allmänna nod som du har skapat i Konfigurera VM för datasäkerhet för hybrid, registrerar noden i Webex-molnet och omvandlar den till en datasäkerhetsnod för hybrid.

                                                                                                                                                  När du registrerar din första nod skapar du ett kluster som noden har tilldelats. Ett kluster innehåller en eller flera noder som distribueras för att tillhandahålla redundans.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

                                                                                                                                                  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Från menyn till vänster på skärmen väljer du Tjänster.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Hybrid-tjänster letar du efter Hybrid-datasäkerhet och klickar på Konfigurera.

                                                                                                                                                  Sidan Registrera datasäkerhetsnod för hybrid visas.
                                                                                                                                                  4

                                                                                                                                                  Välj Ja för att ange att du har konfigurerat noden och är redo att registrera den och klicka sedan på Nästa.

                                                                                                                                                  5

                                                                                                                                                  I det första fältet anger du ett namn för det kluster som du vill tilldela din datasäkerhetsnod för hybrid till.

                                                                                                                                                  Vi rekommenderar att du namnger ett kluster baserat på var noderna i klustret finns geografiskt. Exempel: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                  Denna IP-adress eller FQDN ska matcha IP-adressen eller värdnamnet och domänen som du använde i Konfigurera VM för Hybrid-datasäkerhet.

                                                                                                                                                  Ett meddelande visas som anger att du kan registrera din nod till Webex.
                                                                                                                                                  7

                                                                                                                                                  Klicka på Gå till nod.

                                                                                                                                                  8

                                                                                                                                                  Klicka på Fortsätt i varningsmeddelandet.

                                                                                                                                                  Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge din Webex-organisation behörighet att komma åt din nod.
                                                                                                                                                  9

                                                                                                                                                  Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

                                                                                                                                                  Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  10

                                                                                                                                                  Klicka på länken eller stäng fliken för att gå tillbaka till sidan för datasäkerhet för hybrid i Control Hub.

                                                                                                                                                  På sidan Hybrid-datasäkerhet visas det nya klustret som innehåller noden som du har registrerat. Noden hämtar automatiskt den senaste programvaran från molnet.

                                                                                                                                                  Skapa och registrera fler noder

                                                                                                                                                  Om du vill lägga till ytterligare noder i ditt kluster skapar du bara ytterligare VM-datorer och monterar samma ISO-konfigurationsfil och registrerar sedan noden. Vi rekommenderar att du har minst 3 noder.

                                                                                                                                                  För närvarande är de virtuella säkerhetskopieringsdatorer som du har skapat i Slutför förutsättningarna för hybrid-datasäkerhet vänteläge som endast används vid katastrofåterställning. De registreras inte i systemet förrän då. Mer information finns i Katastrofåterställning med Standby-datacenter.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • När du startar registreringen av en nod måste du slutföra den inom 60 minuter eller så måste du starta om.

                                                                                                                                                  • Se till att alla popup-blockerare i din webbläsare är inaktiverade eller att du tillåter undantag för admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Skapa en ny virtuell dator från OVA och upprepa stegen i Installera HDS-värd-OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurera den första konfigurationen för den nya VM och upprepa stegen i Konfigurera VM för Hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Upprepa stegen i Överför och montera HDS-konfigurationen ISO på den nya VM-datorn.

                                                                                                                                                  4

                                                                                                                                                  Om du konfigurerar en proxy för din distribution upprepar du stegen i Konfigurera HDS-noden för proxyintegrering efter behov för den nya noden.

                                                                                                                                                  5

                                                                                                                                                  Registrera noden.

                                                                                                                                                  1. I https://admin.webex.com väljer du Tjänster från menyn till vänster på skärmen.

                                                                                                                                                  2. I avsnittet Hybrid-tjänster letar du upp Hybrid-datasäkerhetskortet och klickar på Resurser.

                                                                                                                                                    Sidan Hybrid-datasäkerhetsresurser visas.
                                                                                                                                                  3. Klicka på Lägg till resurs.

                                                                                                                                                  4. I det första fältet väljer du namnet på ditt befintliga kluster.

                                                                                                                                                  5. I det andra fältet anger du den interna IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för din nod och klickar på Nästa.

                                                                                                                                                    Ett meddelande visas som anger att du kan registrera din nod i Webex-molnet.
                                                                                                                                                  6. Klicka på Gå till nod.

                                                                                                                                                    Efter en stund omdirigeras du till anslutningstesterna för noden för Webex-tjänster. Om alla tester lyckas visas sidan Tillåt åtkomst till datasäkerhetsnod för hybrid. Där bekräftar du att du vill ge organisationen behörighet att komma åt din nod.
                                                                                                                                                  7. Markera kryssrutan Tillåt åtkomst till din datasäkerhetsnod för hybrid och klicka sedan på Fortsätt.

                                                                                                                                                    Ditt konto har validerats och meddelandet ”Registrering slutförd” indikerar att din nod nu är registrerad i Webex-molnet.
                                                                                                                                                  8. Klicka på länken eller stäng fliken för att gå tillbaka till sidan för datasäkerhet för hybrid i Control Hub.

                                                                                                                                                  Din nod är registrerad. Observera att innan du påbörjar en provperiod genererar dina noder ett larm som indikerar att din tjänst ännu inte har aktiverats.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Kör en provperiod och gå till produktion (nästa kapitel)

                                                                                                                                                  Kör en provperiod och gå till produktion

                                                                                                                                                  Uppgiftsflöde för provperiod till produktion

                                                                                                                                                  När du har konfigurerat ett Hybrid-datasäkerhetskluster kan du starta ett pilotprojekt, lägga till användare i det och börja använda det för att testa och verifiera din distribution som förberedelse inför övergången till produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkronisera gruppobjektet HdsTrialGroup om tillämpligt.

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja gruppobjektet HdsTrialGroup för synkronisering med molnet innan du kan starta en provperiod. Anvisningar finns i Distributionsguide för Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Påbörja en provperiod. Innan du gör den här uppgiften genererar dina noder ett larm som indikerar att tjänsten ännu inte har aktiverats.

                                                                                                                                                  3

                                                                                                                                                  Testa din datasäkerhetsdistribution för hybrid

                                                                                                                                                  Kontrollera att nyckelförfrågningar skickas till din distribution av Hybrid-datasäkerhet.

                                                                                                                                                  4

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  Kontrollera status och konfigurera e-postaviseringar för larm.

                                                                                                                                                  5

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  6

                                                                                                                                                  Slutför provfasen med någon av följande åtgärder:

                                                                                                                                                  Aktivera provperiod

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Om din organisation använder katalogsynkronisering för användare måste du välja gruppobjektet HdsTrialGroup för synkronisering med molnet innan du kan starta en provperiod för din organisation. Anvisningar finns i Distributionsguide för Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logga in på https://admin.webex.com och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Tjänststatus klickar du på Starta provperiod.

                                                                                                                                                  Tjänstens status ändras till provläge.
                                                                                                                                                  4

                                                                                                                                                  Klicka på Lägg till användare och ange e-postadressen till en eller flera användare för att testa användningen av dina Hybrid-datasäkerhetsnoder för kryptering och indexering av tjänster.

                                                                                                                                                  (Om din organisation använder katalogsynkronisering använder du Active Directory för att hantera provgruppen, HdsTrialGroup.)

                                                                                                                                                  Testa din datasäkerhetsdistribution för hybrid

                                                                                                                                                  Använd denna procedur för att testa scenarier för Hybrid-datasäkerhet.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • Konfigurera din distribution av Hybrid-datasäkerhet.

                                                                                                                                                  • Aktivera provperioden och lägg till flera provanvändare.

                                                                                                                                                  • Se till att du har åtkomst till syslog för att kontrollera att nyckelförfrågningar skickas till din distribution av Hybrid-datasäkerhet.

                                                                                                                                                  1

                                                                                                                                                  Nycklar för ett givet utrymme ställs in av utrymmets skapare. Logga in på Webex-appen som en av pilotanvändarna och skapa sedan ett utrymme och bjud in minst en pilotanvändare och en icke-pilotanvändare.

                                                                                                                                                  Om du inaktiverar distributionen av Hybrid-datasäkerhet är innehåll i utrymmen som pilotanvändare skapar inte längre tillgängligt när de klientcachelagrade kopiorna av krypteringsnycklarna har ersatts.

                                                                                                                                                  2

                                                                                                                                                  Skicka meddelanden till det nya utrymmet.

                                                                                                                                                  3

                                                                                                                                                  Kontrollera syslog-utdata för att kontrollera att nyckelbegäranden skickas till din distribution av Hybrid-datasäkerhet.

                                                                                                                                                  1. För att kontrollera om en användare först har etablerat en säker kanal till KMS, filtrera på kms.data.method=create och kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bör hitta en post som följande (identifierare förkortas för läsbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriVärd=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om du vill söka efter en användare som begär en befintlig nyckel från KMS filtrerar du på kms.data.method=retrieve och kms.data.type=NYCKEL:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=hämta, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriVärd=ciscospark.com, kms.data.type=NYCKEL, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. För att söka efter en användare som begär att en ny KMS-nyckel ska du filtrera på kms.data.method=create och kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=skapa, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. För att söka efter en användare som begär att ett nytt KMS-resursobjekt (KRO) ska skapas när ett utrymme eller annan skyddad resurs skapas, filtrera på kms.data.method=create och kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du ska nu hitta en post som till exempel följande:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:BEGÄRAN] mottaget, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=skapa, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESURS_SAMLING, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Övervaka datasäkerhet för hybrid

                                                                                                                                                  En statusindikator i Control Hub visar om det är bra med distributionen av Hybrid-datasäkerhet. Registrera dig för e-postaviseringar om du vill ha mer proaktiv avisering. Du meddelas när det finns larm som påverkar tjänsten eller programvaruuppgraderingar.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub väljer du Tjänster i menyn till vänster på skärmen.

                                                                                                                                                  2

                                                                                                                                                  I avsnittet Hybrid-tjänster letar du efter Hybrid-datasäkerhet och klickar på Inställningar.

                                                                                                                                                  Sidan Inställningar för Hybrid-datasäkerhet visas.
                                                                                                                                                  3

                                                                                                                                                  I avsnittet E-postaviseringar skriver du in en eller flera e-postadresser avgränsade med kommatecken och trycker på Retur.

                                                                                                                                                  Lägg till eller ta bort användare från din provperiod

                                                                                                                                                  När du har aktiverat en provperiod och lagt till den första uppsättningen provanvändare kan du när som helst lägga till eller ta bort provperiodsmedlemmar medan provperioden är aktiv.

                                                                                                                                                  Om du tar bort en användare från provperioden kommer användarens klient att begära nycklar och skapa nycklar från molnet-KMS i stället för din KMS. Om klienten behöver en nyckel som lagras på din KMS hämtar molnhanteraren den för användarens räkning.

                                                                                                                                                  Om din organisation använder katalogsynkronisering använder du Active Directory (istället för denna procedur) för att hantera provgruppen, HdsTrialGroup. Du kan visa gruppmedlemmarna i Control Hub men kan inte lägga till eller ta bort dem.

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Provläge i området Tjänststatus klickar du på Lägg till användare eller på Visa och redigera för att ta bort användare från provperioden.

                                                                                                                                                  4

                                                                                                                                                  Ange e-postadressen till en eller flera användare att lägga till, eller klicka på X med ett användar-ID för att ta bort användaren från provperioden. Klicka sedan på Spara.

                                                                                                                                                  Flytta från provperiod till produktion

                                                                                                                                                  När du är säker på att din distribution fungerar bra för provperiodsanvändarna kan du flytta till produktion. När du flyttar till produktion kommer alla användare i organisationen att använda din lokala Hybrid-datasäkerhetsdomän för krypteringsnycklar och andra tjänster i säkerhetssfären. Du kan inte gå tillbaka till provläge från produktionen om du inte inaktiverar tjänsten som en del av katastrofåterställning. Om du återaktiverar tjänsten måste du konfigurera en ny provperiod.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  I avsnittet Tjänststatus klickar du på Flytta till produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill flytta alla dina användare till produktion.

                                                                                                                                                  Avsluta provperioden utan att gå till produktion

                                                                                                                                                  Om du under provperioden bestämmer dig för att inte fortsätta distributionen av Hybrid-datasäkerhet kan du inaktivera Hybrid-datasäkerhet, vilket avslutar provperioden och flyttar provanvändarna tillbaka till molndatasäkerhetstjänsterna. Provanvändarna kommer att förlora åtkomsten till data som krypterades under provperioden.
                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasäkerhet klickar du på Inställningar.

                                                                                                                                                  3

                                                                                                                                                  Klicka på Inaktivera i avsnittet Inaktivera.

                                                                                                                                                  4

                                                                                                                                                  Bekräfta att du vill inaktivera tjänsten och avsluta provperioden.

                                                                                                                                                  Hantera din HDS-distribution

                                                                                                                                                  Hantera HDS-distribution

                                                                                                                                                  Använd de uppgifter som beskrivs här för att hantera din distribution av Hybrid-datasäkerhet.

                                                                                                                                                  Ställ in schema för klusteruppgradering

                                                                                                                                                  Programvaruuppgraderingar för Hybrid-datasäkerhet görs automatiskt på klusternivå, vilket säkerställer att alla noder alltid kör samma programvaruversion. Uppgraderingar görs enligt klustrets uppgraderingsschema. När en programvaruuppgradering blir tillgänglig har du möjlighet att uppgradera klustret manuellt före den schemalagda uppgraderingstiden. Du kan ställa in ett specifikt uppgraderingsschema eller använda standardschemat 3:00 AM Daily USA: Amerika/Los Angeles. Du kan även välja att skjuta upp en kommande uppgradering om det behövs.

                                                                                                                                                  Så här ställer du in uppgraderingsschemat:

                                                                                                                                                  1

                                                                                                                                                  Logga in på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På översiktssidan under Hybrid-tjänster väljer du Hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Välj klustret på sidan Hybrid-datasäkerhetsresurser.

                                                                                                                                                  4

                                                                                                                                                  Välj klusternamnet under Klusterinställningar i översiktspanelen till höger.

                                                                                                                                                  5

                                                                                                                                                  Välj tid och tidszon för uppgraderingsschemat under Uppgradera på sidan Inställningar.

                                                                                                                                                  Obs: Under tidszonen visas nästa tillgängliga uppgraderingsdatum och -tid. Du kan senarelägga uppgraderingen till nästa dag om det behövs genom att klicka på Senarelägg.

                                                                                                                                                  Ändra nodkonfigurationen

                                                                                                                                                  Ibland kan du behöva ändra konfigurationen av din Hybrid-datasäkerhetsnod av exempelvis:
                                                                                                                                                  • Ändra x.509-certifikat på grund av utgångsdatum eller andra orsaker.

                                                                                                                                                    Vi stöder inte ändring av ett certifikats CN-domännamn. Domänen måste matcha den ursprungliga domänen som användes för att registrera klustret.

                                                                                                                                                  • Uppdaterar databasinställningar för att ändra till en klient av PostgreSQL- eller Microsoft SQL Server-databasen.

                                                                                                                                                    Vi stöder inte migrering av data från PostgreSQL till Microsoft SQL Server, eller tvärtom. Om du vill växla databasmiljön startar du en ny distribution av Hybrid-datasäkerhet.

                                                                                                                                                  • Skapa en ny konfiguration för att förbereda ett nytt datacenter.

                                                                                                                                                  Av säkerhetsskäl använder hybriddatasäkerhet även lösenord för tjänstekonto som har en nio månaders livslängd. När HDS-konfigurationsverktyget skapar dessa lösenord distribuerar du dem till var och en av dina HDS-noder i ISO-konfigurationsfilen. När din organisations lösenord snart upphör att gälla får du ett meddelande från Webex-teamet om att återställa lösenordet för ditt maskinkonto. (E-postmeddelandet innehåller texten "Använd datorkontots API för att uppdatera lösenordet.") Om dina lösenord ännu inte har upphört att gälla har verktyget två alternativ att välja på:

                                                                                                                                                  • Mjuk återställning – De gamla och nya lösenorden fungerar båda i upp till 10 dagar. Använd denna period för att ersätta ISO-filen på noderna stegvis.

                                                                                                                                                  • Hård återställning – De gamla lösenorden slutar fungera omedelbart.

                                                                                                                                                  Om dina lösenord upphör att gälla utan återställning påverkas din HDS-tjänst vilket kräver en omedelbar hårddiskåterställning och ersättning av ISO-filen på alla noder.

                                                                                                                                                  Använd denna procedur för att generera en ny ISO-konfigurationsfil och tillämpa den på ditt kluster.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • HDS-konfigurationsverktyget används som en Docker-container på en lokal dator. Kör Docker på den datorn för att komma åt den. Konfigurationsprocessen kräver autentiseringsuppgifterna för ett Control Hub-konto med fullständiga administratörsrättigheter för din organisation.

                                                                                                                                                    Om HDS-konfigurationsverktyget körs bakom en proxy i din miljö ska du ange proxyinställningarna (server, port, inloggningsuppgifter) via Docker-miljövariabler när du hämtar Docker-behållaren i 1.e. Den här tabellen ger några möjliga miljövariabler:

                                                                                                                                                    Beskrivning

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxyserver utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy utan autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://användarnamn:lösenord@server_IP:PORT

                                                                                                                                                    HTTPS-proxyserver med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://användarnamn:lösenord@server_IP:PORT

                                                                                                                                                  • Du behöver en kopia av den aktuella ISO-konfigurationsfilen för att generera en ny konfiguration. ISO innehåller huvudnyckeln som krypterar PostgreSQL- eller Microsoft SQL Server-databasen. Du behöver ISO-filen när du gör konfigurationsändringar, inklusive autentiseringsuppgifter för databasen, certifikatuppdateringar eller ändringar i behörighetspolicy.

                                                                                                                                                  1

                                                                                                                                                  Om du använder Docker på en lokal dator kör du HDS-konfigurationsverktyget.

                                                                                                                                                  1. På din dators kommandorad anger du lämpligt kommando för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-inställning: stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp: stable

                                                                                                                                                    Detta steg rensar tidigare bilder av HDS-konfigurationsverktygen. Om det inte finns några tidigare bilder visas ett fel som du kan ignorera.

                                                                                                                                                  2. För att logga in på Docker-bildregistret anger du följande:

                                                                                                                                                    docker inloggning -u hdscustomersro
                                                                                                                                                  3. Vid lösenordsupp prompten anger du detta hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Hämta den senaste stabil bild för din miljö:

                                                                                                                                                    I vanliga miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-inställning: stable

                                                                                                                                                    I FedRAMP-miljöer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp: stable

                                                                                                                                                    Se till att du använder det senaste konfigurationsverktyget för den här proceduren. Versioner av verktyget som skapades före den 22 februari 2018 har inte några skärmar för lösenordsåterställning.

                                                                                                                                                  5. När pull-in är slutförd anger du lämpligt kommando för din miljö:

                                                                                                                                                    • I vanliga miljöer utan proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanliga miljöer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljöer utan proxy:

                                                                                                                                                      docker kör -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljöer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    När behållaren körs ser du "Expressserverlyssning på port 8080".

                                                                                                                                                  6. Använd en webbläsare för att ansluta till den lokalavärden, http://127.0.0.1:8080.

                                                                                                                                                    Konfigurationsverktyget stöder inte anslutning till localhost via http://localhost:8080. Använd http://127.0.0.1:8080 för att ansluta till lokal värd.

                                                                                                                                                  7. När du blir ombedd anger du dina inloggningsuppgifter för kunden i Control Hub och klickar sedan på Godkänn för att fortsätta.

                                                                                                                                                  8. Importera den aktuella ISO-konfigurationsfilen.

                                                                                                                                                  9. Följ anvisningarna för att slutföra verktyget och hämta den uppdaterade filen.

                                                                                                                                                    Om du vill stänga av konfigurationsverktyget skriver du CTRL + C.

                                                                                                                                                  10. Skapa en säkerhetskopia av den uppdaterade filen i ett annat datacenter.

                                                                                                                                                  2

                                                                                                                                                  Om du bara har en HDS-nod igång skapar du en ny VM för datasäkerhetsnod för hybrid och registrerar den med den nya konfigurationsfilen ISO. Mer detaljerade anvisningar finns i Skapa och registrera fler noder.

                                                                                                                                                  1. Installera HDS-värden OVA.

                                                                                                                                                  2. Konfigurera virtuell dator för HDS.

                                                                                                                                                  3. Montera den uppdaterade konfigurationsfilen.

                                                                                                                                                  4. Registrera den nya noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Montera ISO-filen för befintliga HDS-noder som använder den äldre konfigurationsfilen. Utför följande procedur på varje nod i tur och uppdatera varje nod innan du stänger av nästa nod:

                                                                                                                                                  1. Stäng av den virtuella datorn.

                                                                                                                                                  2. I VMware vSphere-klientens vänstra navigeringsfönster högerklickar du på den virtuella datorn och klickar på Redigera inställningar.

                                                                                                                                                  3. Klicka på CD/DVD-enhet 1, välj alternativet för att montera från en ISO-fil och bläddra sedan till platsen där du placerade den nya ISO-konfigurationsfilen.

                                                                                                                                                  4. Markera Anslut vid start.

                                                                                                                                                  5. Spara ändringarna och slå på den virtuella datorn.

                                                                                                                                                  4

                                                                                                                                                  Upprepa steg 3 för att ersätta konfigurationen på varje återstående nod som använder den gamla konfigurationen.

                                                                                                                                                  Inaktivera blockerad extern DNS-Matchningstid

                                                                                                                                                  När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

                                                                                                                                                  Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
                                                                                                                                                  1

                                                                                                                                                  Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

                                                                                                                                                  2

                                                                                                                                                  Går du till Översikt (standard sidan).

                                                                                                                                                  När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

                                                                                                                                                  3

                                                                                                                                                  Går du till sidan betrodda certifikat \ proxy .

                                                                                                                                                  4

                                                                                                                                                  Klicka på kontrol lera proxy-anslutning.

                                                                                                                                                  Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

                                                                                                                                                  Ta bort en nod

                                                                                                                                                  Använd denna procedur för att ta bort en datasäkerhetsnod för hybrid från Webex-molnet. När du har tagit bort noden från klustret tar du bort den virtuella datorn för att förhindra ytterligare åtkomst till dina säkerhetsdata.
                                                                                                                                                  1

                                                                                                                                                  Använd VMware vSphere-klienten på datorn för att logga in på den virtuella ESXi-värden och stänga av den virtuella datorn.

                                                                                                                                                  2

                                                                                                                                                  Ta bort noden:

                                                                                                                                                  1. Logga in på Control Hub och välj sedan Tjänster.

                                                                                                                                                  2. På kortet Hybrid-datasäkerhet klickar du på Visa alla för att visa sidan Datasäkerhetsresurser för hybrid.

                                                                                                                                                  3. Välj ditt kluster för att visa dess översiktspanel.

                                                                                                                                                  4. Klicka på Öppna nodlista.

                                                                                                                                                  5. Välj den nod som du vill ta bort på fliken Noder.

                                                                                                                                                  6. Klicka på Åtgärder > Avregistrera nod.

                                                                                                                                                  3

                                                                                                                                                  Ta bort VM i vSphere-klienten. (Högerklicka på VM-datorn och klicka på Ta bort i den vänstra navigeringsrutan.)

                                                                                                                                                  Kom ihåg att avmontera ISO-konfigurationsfilen om du inte tar bort VM-datorn. Utan ISO-filen kan du inte använda VM-datorn för att komma åt dina säkerhetsdata.

                                                                                                                                                  Katastrofåterställning med Standby-datacenter

                                                                                                                                                  Den mest kritiska tjänst som ditt Hybrid-datasäkerhetskluster tillhandahåller är att skapa och lagra nycklar som används för att kryptera meddelanden och annat innehåll som lagras i Webex-molnet. För varje användare i organisationen som har tilldelats Hybrid-datasäkerhet dirigeras begäranden om att skapa nya nycklar till klustret. Klustret ansvarar också för att returnera nycklarna som det har skapats till alla användare som har behörighet att hämta dem, till exempel medlemmar i ett konversationsutrymme.

                                                                                                                                                  Eftersom klustret utför den kritiska funktionen att tillhandahålla dessa nycklar är det absolut nödvändigt att klustret fortsätter att köras och att korrekta säkerhetskopieringar upprätthålls. Förlust av Hybrid-datasäkerhetsdatabasen eller den ISO-konfiguration som används för schemat leder till OÅTERKALLELIG FÖRLUST av kundinnehåll. Följande metoder är obligatoriska för att förhindra en sådan förlust:

                                                                                                                                                  Om en katastrof gör att HDS-distributionen i det primära datacentret inte blir tillgänglig följer du den här proceduren för att manuellt redundans till datacentret i vänteläge.

                                                                                                                                                  1

                                                                                                                                                  Starta HDS-konfigurationsverktyget och följ stegen som nämns i Skapa en ISO-konfiguration för HDS-värdarna.

                                                                                                                                                  2

                                                                                                                                                  När du har konfigurerat Syslogd-servern klickar du på Avancerade inställningar

                                                                                                                                                  3

                                                                                                                                                  På sidan Avancerade inställningar lägger du till konfigurationen nedan eller tar bort konfigurationen PassiveMode för att göra noden aktiv. Noden kan hantera trafik när detta har konfigurerats.

                                                                                                                                                   passivläge: falskt 

                                                                                                                                                  4

                                                                                                                                                  Slutför konfigurationsprocessen och spara ISO-filen på en plats som är lätt att hitta.

                                                                                                                                                  5

                                                                                                                                                  Gör en säkerhetskopia av ISO-filen på ditt lokala system. Skydda säkerhetskopian. Den här filen innehåller en huvudkrypteringsnyckel för databasinnehållet. Begränsa åtkomsten till endast de Hybrid-datasäkerhetsadministratörer som bör göra konfigurationsändringar.

                                                                                                                                                  6

                                                                                                                                                  I VMware vSphere-klientens vänstra navigeringspanel högerklickar du på VM-datorn och klickar på Redigera inställningar..

                                                                                                                                                  7

                                                                                                                                                  Klicka på Redigera inställningar >CD/DVD-enhet 1 och välj ISO-fil för datalager.

                                                                                                                                                  Se till att Ansluten och Anslut vid påslagning är markerade så att uppdaterade konfigurationsändringar kan börja gälla när noderna har startats.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm under minst 15 minuter.

                                                                                                                                                  9

                                                                                                                                                  Upprepa processen för varje nod i datacentret för vänteläge.

                                                                                                                                                  Kontrollera syslog-utdata för att kontrollera att noderna i standby-datacentret inte är i passivt läge. ”KMS konfigurerad i passivt läge” ska inte visas i syslog.

                                                                                                                                                  Nästa steg

                                                                                                                                                  Efter redundans och om det primära datacentret blir aktivt igen, placerar du standby-datacentret i passivt läge igen genom att följa stegen som beskrivs i Konfigurera datacentret för katastrofåterställning.

                                                                                                                                                  (Valfritt) Avmontera ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen för HDS körs med ISO monterad. Vissa kunder föredrar dock att inte lämna ISO-filer monterade hela tiden. Du kan avmontera ISO-filen när alla HDS-noder har hämtat den nya konfigurationen.

                                                                                                                                                  Du använder fortfarande ISO-filerna för att göra konfigurationsändringar. När du skapar en ny ISO eller uppdaterar en ISO via installationsverktyget måste du montera den uppdaterade ISO på alla dina HDS-noder. När alla noder har hämtat konfigurationsändringarna kan du avmontera ISO igen med den här proceduren.

                                                                                                                                                  Innan du börjar

                                                                                                                                                  Uppgradera alla dina HDS-noder till version 2021.01.22.4720 eller senare.

                                                                                                                                                  1

                                                                                                                                                  Stäng av en av dina HDS-noder.

                                                                                                                                                  2

                                                                                                                                                  Välj HDS-noden i vCenter-serverenheten.

                                                                                                                                                  3

                                                                                                                                                  Välj Redigera inställningar > CD/DVD-enhet och avmarkera ISO-fil för datalager.

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden och se till att det inte finns några larm under minst 20 minuter.

                                                                                                                                                  5

                                                                                                                                                  Upprepa för varje HDS-nod i tur och ordning.

                                                                                                                                                  Felsök Hybrid-datasäkerhet

                                                                                                                                                  Visa aviseringar och felsökning

                                                                                                                                                  En Hybrid-datasäkerhetsdistribution anses inte tillgänglig om alla noder i klustret är oåtkomliga eller om klustret fungerar så långsamt att tidsgränsen begärs. Om användare inte kan nå ditt Hybrid-datasäkerhetskluster får de följande symtom:

                                                                                                                                                  • Nya utrymmen kan inte skapas (det går inte att skapa nya nycklar)

                                                                                                                                                  • Meddelanden och utrymmetitlar kan inte avkrypteras för:

                                                                                                                                                    • Nya användare har lagts till i ett utrymme (det går inte att hämta nycklar)

                                                                                                                                                    • Befintliga användare i ett utrymme som använder en ny klient (det går inte att hämta nycklar)

                                                                                                                                                  • Befintliga användare i ett utrymme fortsätter att köras så länge deras klienter har en cache med krypteringsnycklarna

                                                                                                                                                  Det är viktigt att du övervakar ditt Hybrid-datasäkerhetskluster korrekt och adresserar eventuella varningar omedelbart för att undvika störningar i tjänsten.

                                                                                                                                                  Aviseringar

                                                                                                                                                  Om det uppstår ett problem med konfigurationen av hybrid-datasäkerhet visar Control Hub aviseringar för organisationsadministratören och skickar e-postmeddelanden till den konfigurerade e-postadressen. Aviseringarna täcker många vanliga scenarier.

                                                                                                                                                  Tabell 1. Vanliga problem och steg för att lösa dem

                                                                                                                                                  Avisering

                                                                                                                                                  Åtgärd

                                                                                                                                                  Åtkomstfel i lokal databas.

                                                                                                                                                  Kontrollera om det finns databasfel eller problem med det lokala nätverket.

                                                                                                                                                  Anslutning till lokal databas misslyckades.

                                                                                                                                                  Kontrollera att databasservern är tillgänglig och att rätt inloggningsuppgifter för tjänstkontot användes i nodkonfigurationen.

                                                                                                                                                  Åtkomstfel för molntjänst.

                                                                                                                                                  Kontrollera att noderna har åtkomst till Webex-servrarna enligt Krav för extern anslutning.

                                                                                                                                                  Förnyar registrering av molntjänster.

                                                                                                                                                  Registreringen till molntjänster har avbrutits. Förnyelse av registrering pågår.

                                                                                                                                                  Registreringen av molntjänsten har avbrutits.

                                                                                                                                                  Registrering till molntjänster har avslutats. Tjänsten stängs av.

                                                                                                                                                  Tjänsten är ännu inte aktiverad.

                                                                                                                                                  Aktivera en provperiod eller slutför att flytta provperioden till produktion.

                                                                                                                                                  Den konfigurerade domänen matchar inte servercertifikatet.

                                                                                                                                                  Kontrollera att servercertifikatet matchar den konfigurerade tjänsteaktiveringsdomänen.

                                                                                                                                                  Den mest sannolika orsaken är att certifikatets CN nyligen har ändrats och nu skiljer sig från den CN som användes under den första konfigurationen.

                                                                                                                                                  Det gick inte att autentisera till molntjänster.

                                                                                                                                                  Kontrollera om inloggningsuppgifterna för tjänstekontot är korrekta och eventuellt upphör att gälla.

                                                                                                                                                  Det gick inte att öppna den lokala keystore-filen.

                                                                                                                                                  Kontrollera integritet och lösenordsnoggrannhet i den lokala keystore-filen.

                                                                                                                                                  Det lokala servercertifikatet är ogiltigt.

                                                                                                                                                  Kontrollera servercertifikatets utgångsdatum och bekräfta att det har utfärdats av en betrodd certifikatutfärdare.

                                                                                                                                                  Det gick inte att publicera mätvärden.

                                                                                                                                                  Kontrollera lokala nätverksåtkomst till externa molntjänster.

                                                                                                                                                  /media/configdrive/hds-katalogen finns inte.

                                                                                                                                                  Kontrollera ISO-monteringskonfigurationen på den virtuella värden. Kontrollera att ISO-filen finns, att den har konfigurerats att monteras vid omstart och att den monteras.

                                                                                                                                                  Felsök Hybrid-datasäkerhet

                                                                                                                                                  Använd följande allmänna riktlinjer vid felsökning av problem med Hybrid-datasäkerhet.
                                                                                                                                                  1

                                                                                                                                                  Granska Control Hub för eventuella aviseringar och fixa alla objekt som du hittar där.

                                                                                                                                                  2

                                                                                                                                                  Granska syslog-serverns utdata för aktivitet från distributionen av Hybrid-datasäkerhet.

                                                                                                                                                  3

                                                                                                                                                  Kontakta Ciscos support.

                                                                                                                                                  Övriga anteckningar

                                                                                                                                                  Kända problem med Hybrid-datasäkerhet

                                                                                                                                                  • Om du stänger av ditt Hybrid-datasäkerhetskluster (genom att ta bort det i Control Hub eller genom att stänga av alla noder), förlorar din ISO-konfigurationsfil eller förlorar åtkomst till keystore-databasen, kan dina Webex-appanvändare inte längre använda utrymmen i sin kontaktlista som har skapats med nycklar från din KMS. Detta gäller både för provnings- och produktionsdistributioner. Vi har för närvarande ingen tillfällig lösning eller korrigering av det här problemet och uppmanar dig att inte stänga av dina HDS-tjänster när de har hanterat aktiva användarkonton.

                                                                                                                                                  • En klient som har en befintlig ECDH-anslutning till en KMS behåller anslutningen under en tidsperiod (troligen en timme). När en användare blir medlem i en provperiod för datasäkerhet för hybrid fortsätter användarens klient att använda den befintliga ECDH-anslutningen tills tidsgränsen löper ut. Alternativt kan användaren logga ut och tillbaka in i Webex-appen för att uppdatera platsen som appen kontaktar för krypteringsnycklar.

                                                                                                                                                    Samma beteende inträffar när du flyttar en provperiod till produktion för organisationen. Alla användare utanför provperioden med befintliga ECDH-anslutningar till de tidigare datasäkerhetstjänsterna kommer att fortsätta att använda dessa tjänster tills ECDH-anslutningen omförhandlas (genom timeout eller genom att logga ut och logga in igen).

                                                                                                                                                  Använd OpenSSL för att generera en PKCS12-fil

                                                                                                                                                  Innan du börjar

                                                                                                                                                  • OpenSSL är ett verktyg som kan användas för att skapa PKCS12-filen i rätt format för inläsning i HDS-konfigurationsverktyget. Det finns andra sätt att göra detta, och vi stöder inte eller främjar inte det ena sättet över det andra.

                                                                                                                                                  • Om du väljer att använda OpenSSL tillhandahåller vi denna procedur som vägledning för att hjälpa dig att skapa en fil som uppfyller kraven för X.509-certifikat i X.509-certifikatkrav. Förstå dessa krav innan du fortsätter.

                                                                                                                                                  • Installera OpenSSL i en miljö som stöds. Se https://www.openssl.org för programvaran och dokumentationen.

                                                                                                                                                  • Skapa en privat nyckel.

                                                                                                                                                  • Starta den här proceduren när du får servercertifikatet från din certifikatutfärdare (CA).

                                                                                                                                                  1

                                                                                                                                                  När du får servercertifikatet från din CA sparar du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visa certifikatet som text och verifiera informationen.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Använd en textredigerare för att skapa en fil med certifikatpaket som heter hdsnode-bundle.pem. Paketfilen måste innehålla servercertifikatet, eventuella mellanliggande CA-certifikat och rot-CA-certifikat, i formatet nedan:

                                                                                                                                                  -----BEGIN CERTIFICATE------ ### Servercertifikat. ### -----END CERTIFICATE--------------  ### Mellanliggande CA-certifikat. ### -----END CERTIFICATE-----------  ### Rot-CA-certifikat. ### -----END CERTIFICATE------

                                                                                                                                                  4

                                                                                                                                                  Skapa .p12-filen med det vänliga namnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollera informationen om servercertifikatet.

                                                                                                                                                  1. openssl pkcs12 -i hdsnode.p12

                                                                                                                                                  2. Ange ett lösenord när du uppmanas att kryptera den privata nyckeln så att den listas i utmatningen. Kontrollera sedan att den privata nyckeln och det första certifikatet innehåller linjerna friendlyName: kms-private-key.

                                                                                                                                                    Exempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Ange importlösenord: MAC-verifierade attribut för OK-väska vänligNamn: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nyckelattribut:  Ange lösenfras för PEM-pass: Verifierar – ange lösenordsfras för PEM: -----BÖRJA KRYPTERAD PRIVAT NYCKEL-----  -----END KRYPTERAD PRIVAT NYCKEL----- Bag-attribut vänligName: kms-private-key lokalNyckel-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -------  -----END CERTIFICATE-----

                                                                                                                                                  Nästa steg

                                                                                                                                                  Återgå till Slutför förutsättningarna för Hybrid-datasäkerhet. Du kommer att använda filen hdsnode.p12 och lösenordet som du har angett för den i Skapa en konfiguration ISO för HDS-värdarna.

                                                                                                                                                  Du kan återanvända dessa filer för att begära ett nytt certifikat när det ursprungliga certifikatet upphör att gälla.

                                                                                                                                                  Trafik mellan HDS-noderna och molnet

                                                                                                                                                  Insamlingstrafik för utgående mätvärden

                                                                                                                                                  Datasäkerhetsnoderna för hybrid skickar vissa mätvärden till Webex-molnet. Dessa omfattar systemvärden för heap max, använd heap, CPU-belastning och antal trådar; värden för synkroniserade och asynkrona trådar; värden för varningar med tröskelvärde för krypteringsanslutningar, latens eller längd på en förfrågan; värden för datalager och värden för krypteringsanslutning. Noderna skickar krypterat nyckelmaterial över en kanal utanför bandet (separat från begäran).

                                                                                                                                                  Inkommande trafik

                                                                                                                                                  Datasäkerhetsnoderna för hybrid tar emot följande typer av inkommande trafik från Webex-molnet:

                                                                                                                                                  • Krypteringsförfrågningar från klienter som dirigeras av krypteringstjänsten

                                                                                                                                                  • Uppgraderingar av nodprogramvaran

                                                                                                                                                  Konfigurera squid-proxyservrar för Hybrid-datasäkerhet

                                                                                                                                                  WebSocket kan inte ansluta via squid proxy

                                                                                                                                                  Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

                                                                                                                                                  Squid 4 och 5

                                                                                                                                                  Lägg till on_unsupported_protocol direktivet i squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel alla

                                                                                                                                                  Squid-3.5.27

                                                                                                                                                  Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla
                                                                                                                                                  Var den här artikeln användbar?
                                                                                                                                                  Var den här artikeln användbar?