- Ana Sayfa
- /
- Makale
Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar
Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.
Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.
PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma
Başlamadan önce
OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.
1 | Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin |
2 | Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.
|
3 | Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın
|
4 | .p12 dosyasını uygun adla oluşturun
|
5 | Sunucu sertifikası ayrıntılarını kontrol edin. |
Sonraki işlemler
Karma Veri Güvenliği Ön Koşullarını Tamamlama’ya dönün. kullanacaksınız. hdsnode.p12
dosyası ve bunun için ayarladığınız parola, HDS Ana Bilgisayarları için Yapılandırma ISO Oluştur.
Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz. |
HDS Düğümleri ile Bulut Arasındaki Trafik
Giden Metrikler Toplama Trafiği
Karma Veri Güvenliği düğümleri, Webex buluta belirli ölçümler gönderir. Bunlar arasında maks. yığın, kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem ölçümleri; senkron ve asenkron iş parçacığı üzerindeki ölçümler; şifreleme bağlantıları eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılar üzerindeki ölçümler; veri deposundaki ölçümler; ve şifreleme bağlantısı ölçümleri bulunur. Düğümler şifreli anahtar materyali bant dışı (istekten ayrı olarak) bir kanal üzerinden gönderir.
Gelen Trafik
Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:
Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme
Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma
Websocket, Squid Proxy Ile Bağlanamıyor
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir ( wss:
) Karma Veri Güvenliğinin gerektirdiği bağlantılar. Bu bölümler, Squid'in çeşitli sürümlerini görmezden gelmek için nasıl yapılandırılacağı konusunda rehberlik sağlar wss:
hizmetlerin düzgün çalışması için trafik.
Mürekkep balığı 4 ve 5
Dosyayı on_unsupported_protocol
yönergesi squid.conf
:
on_unsupported_protocol tunnel all
Mürekkep balığı 3.5.27
Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf
. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Yeni ve değiştirilmiş bilgiler
Tarih | Değişiklikler Yapıldı | ||
---|---|---|---|
20 Ekim 2023 Salı |
| ||
07 Ağustos 2023 |
| ||
23 Mayıs 2023 |
| ||
06 Aralık 2022 |
| ||
23 Kasım 2022 |
| ||
13 Ekim 2021 | HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri. | ||
24 Haziran 2021 | Başka bir sertifika istemek için özel anahtar dosyasını ve CSR'yi yeniden kullanabileceğinizi unutmayın. Ayrıntılar için PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma bölümüne bakın. | ||
30 Nisan 2021 Cuma | Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri . | ||
24 Şubat 2021 | HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma. | ||
2 Şubat 2021 | HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma. | ||
11 Ocak 2021 Çarşamba | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi. | ||
13 Ekim 2020 | |||
8 Ekim 2020 Perşembe | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
14 Ağustos 2020 | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
5 Ağustos 2020 Çarşamba | Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin. Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
16 Haziran 2020 Salı | Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi. | ||
4 Haziran 2020 Perşembe | Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi. | ||
29 Mayıs 2020 Cuma | HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, kullanıcı arabirimi değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi. | ||
5 Mayıs 2020 Salı | Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
21 Nisan 2020 Çarşamba | Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi. | ||
1 Nisan 2020 | Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi. | ||
20 Şubat 2020 | HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi. | ||
4 Şubat 2020 | Proxy Sunucusu Gereksinimleri Güncellendi. | ||
16 Aralık 2019 Pazartesi | Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu. | ||
19 Kasım 2019 | Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi: | ||
8 Kasım 2019 | Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz. Aşağıdaki bölümler uygun olarak güncellendi:
| ||
6 Eylül 2019 | Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi. | ||
29 Ağustos 2019 | Squid proxy'lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırma konusunda kılavuzluk ile Karma Veri Güvenliği eki için Squid proxy'lerini yapılandırma eklendi. | ||
20 Ağustos 2019 | Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi. Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın. | ||
13 Haziran 2019 Çarşamba | Senkronize etmek için bir hatırlatıcıyla Deneme Sürümü Üretim Görev Akışına güncellendi HdsTrialGroup kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce grup nesnesini. | ||
6 Mart 2019 Çarşamba |
| ||
28 Şubat 2019 Cuma |
| ||
26 Şubat 2019 Salı |
| ||
24 Ocak 2019 |
| ||
5 Kasım 2018 |
| ||
19 Ekim 2018 Çarşamba |
| ||
31 Temmuz 2018 |
| ||
21 Mayıs 2018 Pazartesi | Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:
| ||
11 Nisan 2018 Çarşamba |
| ||
22 Şubat 2018 |
| ||
15 Şubat 2018 |
| ||
18 Ocak 2018 |
| ||
2 Kasım 2017 |
| ||
18 Ağustos 2017 | Ilk yayımlanma |
Karma Veri Güvenliğine Genel Bakış
Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşime giren Webex App istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifrelerini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.
Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Hibrit Veri Güvenliği, KMS'yi ve güvenlikle ilgili diğer işlevleri kuruluş verileri merkezinize taşır, böylece şifrelenmiş içeriğinizin anahtarları sizden başka kimsede kalmaz.
Güvenlik Alanı Mimarisi
Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.
Karma Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun bulut alemlerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik alanından mantıksal ve fiziksel olarak ayrıdır. Her ikisi de, şifreli içeriğin nihayetinde depolandığı bölgeden ayrıdır, veri merkezi C'de.
Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek için bir mesaj oluşturduğunda aşağıdaki adımlar gerçekleşir:
Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.
Karma Veri Güvenliğini dağıttığınızda, güvenlik erişim alanı işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşıyın. Webex’i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco’nun alemlerinde kalır.
Diğer Kuruluşlarla Iş Birliği Yapma
Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.
Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .
Karma Veri Güvenliğini Dağıtma Beklentileri
Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.
Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:
Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.
Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybı, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:
Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.
Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur. |
Yüksek Düzey Kurulum Süreci
Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:
Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.
Karma Veri Güvenliği Dağıtım Modeli
Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutu ile iletişim kurar.
Kurulum işlemi sırasında, sağladığınız sanal makinelerdeki sanal aygıtın kurulumunu yapmak için size OVA dosyasını sunuyoruz. Her düğüme monte ettiğiniz özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracı'nı kullanabilirsiniz. Karma Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanınızı kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)
Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç tanesini öneriyoruz ve en fazla beş taneniz olabilir. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, bir seferde yalnızca bir düğümü yükseltir.)
Bir kümedeki tüm düğümler aynı anahtar veri deposuna ve aynı sistem günlüğü sunucusuna erişim sağlar. Düğümlerin kendileri vatansızdır ve anahtar istekleri bulut tarafından yönlendirildiği şekilde round-robin tarzında yönetir.
Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.
Her kuruluş için yalnızca tek bir küme destekliyoruz.
Karma Veri Güvenliği Deneme Modu
Karma Veri Güvenliği dağıtımını ayarladıktan sonra, ilk önce bir dizi pilot kullanıcıyla deneyin. Deneme süresi boyunca bu kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenlik alanını kullanmaya devam eder.
Deneme sırasında dağıtıma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşim kurdukları tüm kullanıcılar mesajlara ve içeriğe erişimlerini kaybedecektir. Kullanıcılar, Webex Uygulamasında “Bu mesajın şifresi çözülemez” ifadesini görecektir.
Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerine yönelik kilit veri deposu yedeklemelerini ve ISO yapılandırma dosyasını başarıyla muhafaza edip etmediğinize bağlıdır.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi
Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.
Aktif ve bekleme veri merkezlerinin veri tabanları birbirleriyle eşitlenir ve bu da yük devretme işlemini gerçekleştirmek için harcanan süreyi en aza indirecektir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kaydedildiğinden ancak trafiği işlemediğinden emin olan ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezinin düğümleri HDS yazılımının en son sürümüyle her zaman güncel kalır.
Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır. |
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu
Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:
Başlamadan önce
Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.
| ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, düğümü pasif modda tutmak için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm kuruluşa kaydedilir ve buluta bağlanır, ancak hiçbir trafiği işlemez.
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
Yapılandırmadan sonra passiveMode
ISO dosyasında ve kaydetmeden ISO dosyasının başka bir kopyasını oluşturabilirsiniz passiveMode
yapılandırıp güvenli bir konuma kaydedin. ISO dosyasının bu kopyası olmadan passiveMode
yapılandırılmış, olağanüstü durum kurtarma sırasında hızlı yük devretme işlemine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.
Proxy Desteği
Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde proxy'yi Kurulum sonra sertifika yönetimi ve genel bağlantı durumunu kontrol etmek için düğümlerde bir platform yöneticisi arabirimi kullanabilirsiniz.
Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:
Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
Yok—Başka kimlik doğrulaması gerekmez.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Karma Veri Güvenliği Düğümleri ve Proxy Örneği
Bu şemada Karma Veri Güvenliği, ağ ve proxy arasındaki örnek bir bağlantı gösterilmektedir. Şeffaf inceleme ve HTTPS'nin açık inceleme proxy seçenekleri için proxy ve Karma Veri Güvenliği düğümlerine aynı kök sertifikasının yüklenmesi gerekir.
Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Dahili istemciler için harici DNS çözümlemesine izin vermeyen açık proxy yapılandırmalarına sahip dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantı testleri devam edebilir.
Karma Veri Güvenliği Gereksinimleri
Cisco Webex Lisans Gereksinimleri
Karma Veri Güvenliğini dağıtmak için:
Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)
Docker Masaüstü Gereksinimleri
HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz Docker Desktop için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog gönderisine bakın, " Docker, Ürün Aboneliklerimizi Güncelliyor ve Genişletiyor ".
X.509 Sertifika Gereksinimleri
Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:
Gereksinimi | Ayrıntılar |
---|---|
| Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz. |
| CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin. |
| KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez. |
| Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir. |
KMS yazılımı, anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamalarını zorunlu kılmaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi genişletilmiş anahtar kullanım kısıtlamalarının her bir sertifikaya uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak uygundur.
Sanal Toplantı Sahibi Gereksinimleri
Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:
Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.
ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı
Veritabanı sunucusu gereksinimleri
Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur. |
Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:
PostgreSQL'ın | Microsoft SQL Server'ın | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) | Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) |
HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:
PostgreSQL'ın | Microsoft SQL Server'ın |
---|---|
Postgres JDBC sürücüsü 42.2.5 | SQL Server JDBC sürücüsü 4.6 Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları). |
Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler
HDS düğümlerinin Microsoft SQL Server'daki keystore veritabanınıza erişim sağlamak için Windows kimlik doğrulaması kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:
HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.
HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.
Harici bağlantı gereklilikleri
HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:
Uygulama | Protokol | Bağlantı Noktası | Uygulamadan Yön | Hedef |
---|---|---|---|---|
Karma Veri Güvenliği düğümleri | TCP | 443 | Giden HTTPS ve WSS |
|
HDS Kurulum Aracı | TCP | 443 | Giden HTTPS |
|
Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünür olmamalıdır. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir. |
Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:
Bölge | Common Identity Toplantı Sahibi URL'leri |
---|---|
Kuzey ve Güney Amerika |
|
Avrupa Birliği |
|
Kanada |
|
Proxy Sunucusu Gereksinimleri
Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.
Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).
Açık proxy—Squid.
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir (wss:) bağlantılar. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.
Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
HTTP veya HTTPS ile kimlik doğrulama yok
HTTP veya HTTPS ile temel kimlik doğrulama
Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden)
wbx2.com
veciscospark.com
sorunu çözecektir.
Karma Veri Güvenliği Ön Koşullarını Tamamlama
1 | Webex kuruluşunuzun Cisco Webex Control Hub için Pro Pack’te etkinleştirildiğinden emin olun ve kuruluşun tam yönetici haklarına sahip bir hesabın kimlik bilgilerini alın. Bu süreçle ilgili yardım için Cisco iş ortağınıza veya hesap yöneticinize başvurun. | ||
2 | HDS dağıtımınız için bir etki alanı adı seçin (örneğin, | ||
3 | Kümenizdeki Karma Veri Güvenliği düğümleri olarak ayarlayacağınız aynı sanal toplantı sahiplerini hazırlayın. Sanal Toplantı Sahibi Gereksinimlerindeki gereksinimleri karşılayan aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir) gerekir. | ||
4 | Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev yapacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun güvenli veri merkezinde sanal toplantı sahipleri ile birlikte ortak olması gerekir. | ||
5 | Hızlı felaket kurtarma için farklı bir veri merkezinde bir yedekleme ortamı oluşturun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. | ||
6 | Kümedeki düğümlerden günlükleri toplamak için bir sistem günlüğü toplantı sahibi ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür.). | ||
7 | Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için en azından, Karma Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemeniz gerekir.
Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanı ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir. | ||
8 | Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun. | ||
9 | Docker'ı ( https://www.docker.com), desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080. Docker örneğini, tüm Karma Veri Güvenliği düğümlerinin yerel yapılandırma bilgilerini derleyen HDS Kurulum Aracı’nı indirip çalıştırmak için kullanabilirsiniz. Kuruluşunuzun Docker Masaüstü lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri . HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır. | ||
10 | Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun. | ||
11 | Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de adı verilen bir grup oluşturun
|
Karma Veri Güvenliği Dağıtım Görev Akışı
Başlamadan önce
1 |
OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin. | ||
2 | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın. | ||
3 | HDS Ana Bilgisayar OVA’sını Yükleme OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.
| ||
4 | Karma Veri Güvenliği VM'sini Ayarlama VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın. | ||
5 | HDS Yapılandırma ISO'sunu Yükleme ve Bağlama HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın. | ||
6 | Proxy Entegrasyonu için HDS Düğümünü Yapılandırma Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin. | ||
7 |
Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin. | ||
8 | Daha Fazla Düğüm Oluşturma ve Kaydetme Küme kurulumunu tamamlayın. | ||
9 | Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm) Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
Yükleme Dosyalarını Indir
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın. | ||||
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın. Kart devre dışıysa veya kart görmüyorsanız hesap ekibinizle veya iş ortağı kuruluşunuzla iletişime geçin. Onlara hesap numaranızı verin ve kuruluşunuzun Karma Veri Güvenliği için etkinleştirilmesini isteyin. Hesap numarasını bulmak için kuruluş adınızın yanındaki sağ üst köşedeki dişli simgesine tıklayın.
| ||||
3 | Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın. OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.
| ||||
4 | Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın. |
HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma
Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
Veritabanı kimlik bilgileri
Sertifika güncellemeleri
Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.
1 | Makinenizin komut satırına ortamınız için uygun komutu girin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
2 | Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
| ||||||||||||
3 | Parola isteminde şu karma değeri girin:
| ||||||||||||
4 | Ortamınız için en son kararlı görüntüyü indirin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
5 | Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:
Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz. | ||||||||||||
6 |
Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler. | ||||||||||||
7 | Istendiğinde, Control Hub müşteri yöneticisi oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişime izin vermek için Oturum Aç seçeneğine tıklayın. | ||||||||||||
8 | Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın. | ||||||||||||
9 | ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:
| ||||||||||||
10 | X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.
| ||||||||||||
11 | Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin: | ||||||||||||
12 | TLS Veritabanı Bağlantı Modu seçin:
Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç ayrıca sertifika imzalayanı ve varsa ana bilgisayar adını da doğrular. Bir test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı yok saymayı ve kuruluma devam etmeyi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.) | ||||||||||||
13 | Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın: | ||||||||||||
14 | (Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar bölümünden değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek parametredir:
| ||||||||||||
15 | Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin. Hizmet hesabı parolalarının dokuz aylık kullanım ömrü vardır. Parolalarınızın süresi dolmak üzereyken veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın. | ||||||||||||
16 | ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin. | ||||||||||||
17 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||||||||||||
18 | Kurulum aracını kapatmak için şunu yazın |
Sonraki işlemler
Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için bu düğüme ihtiyacınız vardır. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.
Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz. |
HDS Ana Bilgisayar OVA’sını Yükleme
1 | ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. | ||||||
2 | Dosya > OVF Şablonunu Dağıt'ı seçin. | ||||||
3 | Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
4 | Üzerindeki Bir isim ve klasör seçin sayfa, bir girin Sanal makine adı düğüm için (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından mcrypt_enc_get_iv_size. | ||||||
5 | Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size. Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür. | ||||||
6 | Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın. | ||||||
7 | üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
8 | Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder. | ||||||
9 | Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin. | ||||||
10 | Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:
Tercih edilirse, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları uygulayabilirsiniz.
| ||||||
11 | Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin .Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız. Sorun Giderme Ipuçları Düğüm kapsayıcıları ortaya çıkmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk önyükleme sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görünür. |
Karma Veri Güvenliği VM'sini Ayarlama
Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. Konsolu, OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için de kullanabilirsiniz.
1 | VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
|
2 | Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir. |
3 | HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin. |
4 | IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor. |
5 | (Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur. |
6 | Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın. |
HDS Yapılandırma ISO'sunu Yükleme ve Bağlama
Başlamadan önce
ISO dosyası ana anahtarı elinde tuttuğu için, Karma Veri Güvenliği sanal makinelerine ve değişiklik yapması gerekebilecek tüm yöneticilere erişim için yalnızca "bilme ihtiyacı" temelinde açıklanması gerekir. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.
1 | Bilgisayarınızdan ISO dosyasını yükleyin: |
2 | ISO dosyasını bağla: |
Sonraki işlemler
BT politikanız gerekirse, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını ayırabilirsiniz. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Ağ ortamı bir proxy gerektiriyorsa Karma Veri Güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Şeffaf bir inceleme proxy veya açık bir HTTPS proxy'si seçerseniz, kök sertifikayı yüklemek ve yüklemek için düğümün arabirimini kullanabilirsiniz. Ayrıca, proxy bağlantısını arabirimden kontrol edebilir ve olası sorunları giderebilirsiniz.
Başlamadan önce
Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
1 | HDS düğümü kurulum URL’sini girin |
2 | Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin:
Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin. |
3 | Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın. |
4 | Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün. |
5 | Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir. |
6 | Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır. |
7 | Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir. |
Ilk Düğümü Kümeye Kaydetme
Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | Şurada oturum açın: https://admin.webex.com. |
2 | Ekranın sol tarafındaki menüden Hizmetler'i seçin. |
3 | Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
|
4 | Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın. |
5 | Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas" |
6 | Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
|
7 | Düğüme Git düğmesine tıklayın. |
8 | Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
|
9 | Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
|
10 | Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.
|
Daha Fazla Düğüm Oluşturma ve Kaydetme
Şu anda, Karma Veri Güvenliği için Ön Koşulları Tamamla bölümünde oluşturduğunuz yedek sanal makineler, yalnızca olağanüstü durum kurtarma durumunda kullanılan bekleme ana bilgisayarlarıdır; bu ana kadar sisteme kaydedilmezler. Ayrıntılar için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma. |
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun. |
2 | Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın. |
3 | Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın. |
4 | Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın. |
5 | Düğümü kaydedin. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.
|
Sonraki işlemler
Denemeden Üretime Görev Akışı
Bir Karma Veri Güvenliği kümesi ayarladıktan sonra, bir pilot başlatabilir, ona kullanıcı ekleyebilir ve üretime geçmeye hazırlık olarak dağıtımınızı test etmek ve doğrulamak için kullanmaya başlayabilirsiniz.
Başlamadan önce
1 | Uygunsa, toplantı kaydını senkronize edin: Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, |
2 |
Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
3 | Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun. |
4 | Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın. |
5 | |
6 | Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: |
Deneme Sürümünü Etkinleştir
Başlamadan önce
Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, HdsTrialGroup
kuruluşunuz için bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
|
4 | Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın |
Karma Veri Güvenliği Dağıtımınızı Test Etme
Başlamadan önce
Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.
1 | Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Webex Uygulamasında pilot kullanıcılardan biri olarak oturum açın ve ardından bir alan oluşturun ve en az bir pilot ve pilot olmayan kullanıcı davet edin.
| ||
2 | Yeni alana mesaj gönderin. | ||
3 | Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin. |
Karma Veri Güvenliği Sağlığını Izleme
1 | Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin. |
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
|
3 | E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın. |
Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
Bir kullanıcıyı deneme sürümünden çıkarırsanız kullanıcının istemcisi KMS’niz yerine bulut KMS’sinden anahtarlar ve anahtar oluşturma isteyecektir. Istemcinin KMS'nizde depolanan bir anahtara ihtiyacı varsa bulut KMS bunu kullanıcı adına getirir.
Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi (bu prosedür yerine) kullanın HdsTrialGroup
; Grup üyelerini Control Hub'da görüntüleyebilirsiniz ancak bunları ekleyemez veya kaldıramazsınız.
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın. |
4 | Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet . |
Deneme Sürümünden Üretime Geçiş
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın. |
4 | Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın. |
Üretime Geçmeden Deneme Sürümünüzü Sonlandırın
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Deactivate kısmında Deactivate düğmesine tıklayın. |
4 | Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın. |
HDS Dağıtımını Yönetme
Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.
Küme Yükseltme Planı Ayarla
Yükseltme planını ayarlamak için:
1 | Control Hub’da Oturum Açın. |
2 | Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin. |
3 | Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin. |
4 | Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin. |
5 | Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz. |
Düğüm Yapılandırmasını Değiştirme
X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.
Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.
PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.
PostgreSQL'den Microsoft SQL Server'a veya tam tersi şekilde veri taşınmasını desteklemiyoruz. Veritabanı ortamını değiştirmek için yeni bir Karma Veri Güvenliği dağıtımını başlatın.
Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.
Güvenlik amacıyla Karma Veri Güvenliği, 9 aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Yapılandırma aracı oluşturur ve bu parolaları ISO yapılandırma dosyasının bir parçası olarak HDS düğümlerinizin her birine dağıtırsınız. Şirketinizin parolalarının geçerlilik süresi sona ermeye yaklaştığında, Webex ekibinden makinenizin hesabının parolasını sıfırlamanızı isteyen bir “Parola Geçerlilik Süresi Sona Erme Bildirimi” alırsınız. (E-posta, "Parolayı güncellemek için makine hesabı API kullanın" metnini içerir.) Parolalarınızın süresi henüz dolmadıysa, araç size iki seçenek sunar:
Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.
Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.
Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, Docker kapsayıcısını 1.e olarak getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.
1 | Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın. |
2 | Yalnızca bir HDS düğümü çalışıyorsa yeni bir VM düğümü oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha Fazla Düğüm Oluşturma ve Kaydetme. |
3 | Eski yapılandırma dosyası çalıştıran mevcut HDS düğümleri için ISO dosyasını bağlayın. Bir sonraki düğümü kapatmadan önce her bir düğümü güncelleyerek sırayla her düğümde aşağıdaki prosedürü gerçekleştirin: |
4 | Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın. |
Engellenen Harici DNS Çözünürlük Modunu Kapat
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Düğümün DNS sunucusu genel DNS adlarını çözümleyemezse düğüm otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer.
Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.
Başlamadan önce
1 | Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın. |
2 | Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet . |
3 | Güven Deposu & Proxy sayfasına gidin. |
4 | Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır. |
Sonraki işlemler
Düğümü Kaldırma
1 | ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. |
2 | Düğümü kaldır: |
3 | vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.) VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız. |
Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma
Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluştaki Karma Veri Güvenliğine atanan her bir kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyelerine geri almaya yetkili herhangi bir kullanıcıya geri döndürmekten de sorumludur.
Küme, bu anahtarları sağlamak için kritik işlevi gerçekleştirdiği için, kümenin çalışır durumda kalması ve uygun yedeklemelerin korunması zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriğinin KURTARILAMAYAN KAYIPLARINA neden olacaktır. Böyle bir kaybı önlemek için aşağıdaki uygulamalar zorunludur:
Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin. | ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, aşağıdaki yapılandırmayı ekleyin veya
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma
Standart HDS yapılandırması, ISO montajlı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte halde bırakmamayı tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasını ayırabilirsiniz.
Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO güncellediğinizde, güncellenmiş ISO’yu tüm HDS düğümlerinize monte etmeniz gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.
Başlamadan önce
Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.
1 | HDS düğümlerinizden birini kapatın. |
2 | vCenter Sunucu Aygıtında HDS düğümünü seçin. |
3 | Datastore ISO Dosyasının işaretini kaldırın. düzenleyin ve |
4 | HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun. |
5 | Her HDS düğümü için sırayla tekrarlayın. |
Uyarıları ve Sorun Gidermeyi Görüntüleme
Kümedeki tüm düğümler ulaşılamıyorsa veya küme zaman aşımı talep edecek kadar yavaş çalışıyorsa, Karma Veri Güvenliği dağıtımının kullanılamadığı düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamazsa aşağıdaki belirtilerle karşılaşırlar:
Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.
Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.
Uyarılar
Karma Veri Güvenliği kurulumuyla ilgili bir sorun varsa Control Hub kuruluş yöneticisine yönelik uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.
Uyarı | İşlem |
---|---|
Yerel veritabanı erişim hatası. |
Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin. |
Yerel veritabanı bağlantısı hatası. |
Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun. |
Bulut hizmeti erişim hatası. |
Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun. |
Bulut hizmeti kaydı yenileniyor. |
Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor. |
Bulut hizmeti kaydı kesildi. |
Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor. |
Hizmet henüz etkinleştirilmedi. |
Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın. |
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor. |
Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır. |
Bulut hizmetlerinde kimlik doğrulaması yapılamadı. |
Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin. |
Yerel Keystore dosyası açılamadı. |
Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin. |
Yerel sunucu sertifikası geçersiz. |
Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın. |
Ölçümler gönderilemiyor. |
Harici bulut hizmetlerine yerel ağ erişimini kontrol edin. |
/media/configdrive/hds dizini mevcut değil. |
Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın. |
Karma Veri Güvenliği Sorunlarını Giderme
1 | Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin. |
2 | Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. |
3 |
Yeni ve değiştirilmiş bilgiler
Tarih | Değişiklikler Yapıldı | ||
---|---|---|---|
20 Ekim 2023 Salı |
| ||
07 Ağustos 2023 |
| ||
23 Mayıs 2023 |
| ||
06 Aralık 2022 |
| ||
23 Kasım 2022 |
| ||
13 Ekim 2021 | HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri. | ||
24 Haziran 2021 | Başka bir sertifika istemek için özel anahtar dosyasını ve CSR'yi yeniden kullanabileceğinizi unutmayın. Ayrıntılar için PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma bölümüne bakın. | ||
30 Nisan 2021 Cuma | Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri . | ||
24 Şubat 2021 | HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma. | ||
2 Şubat 2021 | HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma. | ||
11 Ocak 2021 Çarşamba | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi. | ||
13 Ekim 2020 | |||
8 Ekim 2020 Perşembe | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
14 Ağustos 2020 | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
5 Ağustos 2020 Çarşamba | Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin. Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
16 Haziran 2020 Salı | Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi. | ||
4 Haziran 2020 Perşembe | Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi. | ||
29 Mayıs 2020 Cuma | HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, kullanıcı arabirimi değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi. | ||
5 Mayıs 2020 Salı | Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
21 Nisan 2020 Çarşamba | Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi. | ||
1 Nisan 2020 | Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi. | ||
20 Şubat 2020 | HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi. | ||
4 Şubat 2020 | Proxy Sunucusu Gereksinimleri Güncellendi. | ||
16 Aralık 2019 Pazartesi | Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu. | ||
19 Kasım 2019 | Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi: | ||
8 Kasım 2019 | Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz. Aşağıdaki bölümler uygun olarak güncellendi:
| ||
6 Eylül 2019 | Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi. | ||
29 Ağustos 2019 | Squid proxy'lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırma konusunda kılavuzluk ile Karma Veri Güvenliği eki için Squid proxy'lerini yapılandırma eklendi. | ||
20 Ağustos 2019 | Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi. Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın. | ||
13 Haziran 2019 Çarşamba | Senkronize etmek için bir hatırlatıcıyla Deneme Sürümü Üretim Görev Akışına güncellendi HdsTrialGroup kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce grup nesnesini. | ||
6 Mart 2019 Çarşamba |
| ||
28 Şubat 2019 Cuma |
| ||
26 Şubat 2019 Salı |
| ||
24 Ocak 2019 |
| ||
5 Kasım 2018 |
| ||
19 Ekim 2018 Çarşamba |
| ||
31 Temmuz 2018 |
| ||
21 Mayıs 2018 Pazartesi | Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:
| ||
11 Nisan 2018 Çarşamba |
| ||
22 Şubat 2018 |
| ||
15 Şubat 2018 |
| ||
18 Ocak 2018 |
| ||
2 Kasım 2017 |
| ||
18 Ağustos 2017 | Ilk yayımlanma |
Karma Veri Güvenliğine Genel Bakış
Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşime giren Webex App istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifrelerini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.
Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Hibrit Veri Güvenliği, KMS'yi ve güvenlikle ilgili diğer işlevleri kuruluş verileri merkezinize taşır, böylece şifrelenmiş içeriğinizin anahtarları sizden başka kimsede kalmaz.
Güvenlik Alanı Mimarisi
Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.
Karma Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun bulut alemlerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik alanından mantıksal ve fiziksel olarak ayrıdır. Her ikisi de, şifreli içeriğin nihayetinde depolandığı bölgeden ayrıdır, veri merkezi C'de.
Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek için bir mesaj oluşturduğunda aşağıdaki adımlar gerçekleşir:
Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.
Karma Veri Güvenliğini dağıttığınızda, güvenlik erişim alanı işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşıyın. Webex’i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco’nun alemlerinde kalır.
Diğer Kuruluşlarla Iş Birliği Yapma
Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.
Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .
Karma Veri Güvenliğini Dağıtma Beklentileri
Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.
Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:
Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.
Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybı, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:
Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.
Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur. |
Yüksek Düzey Kurulum Süreci
Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:
Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.
Karma Veri Güvenliği Dağıtım Modeli
Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutu ile iletişim kurar.
Kurulum işlemi sırasında, sağladığınız sanal makinelerdeki sanal aygıtın kurulumunu yapmak için size OVA dosyasını sunuyoruz. Her düğüme monte ettiğiniz özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracı'nı kullanabilirsiniz. Karma Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanınızı kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)
Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç tanesini öneriyoruz ve en fazla beş taneniz olabilir. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, bir seferde yalnızca bir düğümü yükseltir.)
Bir kümedeki tüm düğümler aynı anahtar veri deposuna ve aynı sistem günlüğü sunucusuna erişim sağlar. Düğümlerin kendileri vatansızdır ve anahtar istekleri bulut tarafından yönlendirildiği şekilde round-robin tarzında yönetir.
Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.
Her kuruluş için yalnızca tek bir küme destekliyoruz.
Karma Veri Güvenliği Deneme Modu
Karma Veri Güvenliği dağıtımını ayarladıktan sonra, ilk önce bir dizi pilot kullanıcıyla deneyin. Deneme süresi boyunca bu kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenlik alanını kullanmaya devam eder.
Deneme sırasında dağıtıma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşim kurdukları tüm kullanıcılar mesajlara ve içeriğe erişimlerini kaybedecektir. Kullanıcılar, Webex Uygulamasında “Bu mesajın şifresi çözülemez” ifadesini görecektir.
Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerine yönelik kilit veri deposu yedeklemelerini ve ISO yapılandırma dosyasını başarıyla muhafaza edip etmediğinize bağlıdır.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi
Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.
Aktif ve bekleme veri merkezlerinin veri tabanları birbirleriyle eşitlenir ve bu da yük devretme işlemini gerçekleştirmek için harcanan süreyi en aza indirecektir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kaydedildiğinden ancak trafiği işlemediğinden emin olan ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezinin düğümleri HDS yazılımının en son sürümüyle her zaman güncel kalır.
Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır. |
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu
Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:
Başlamadan önce
Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.
| ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, düğümü pasif modda tutmak için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm kuruluşa kaydedilir ve buluta bağlanır, ancak hiçbir trafiği işlemez.
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
Yapılandırmadan sonra passiveMode
ISO dosyasında ve kaydetmeden ISO dosyasının başka bir kopyasını oluşturabilirsiniz passiveMode
yapılandırıp güvenli bir konuma kaydedin. ISO dosyasının bu kopyası olmadan passiveMode
yapılandırılmış, olağanüstü durum kurtarma sırasında hızlı yük devretme işlemine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.
Proxy Desteği
Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde proxy'yi Kurulum sonra sertifika yönetimi ve genel bağlantı durumunu kontrol etmek için düğümlerde bir platform yöneticisi arabirimi kullanabilirsiniz.
Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:
Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
Yok—Başka kimlik doğrulaması gerekmez.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Karma Veri Güvenliği Düğümleri ve Proxy Örneği
Bu şemada Karma Veri Güvenliği, ağ ve proxy arasındaki örnek bir bağlantı gösterilmektedir. Şeffaf inceleme ve HTTPS'nin açık inceleme proxy seçenekleri için proxy ve Karma Veri Güvenliği düğümlerine aynı kök sertifikasının yüklenmesi gerekir.
Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Dahili istemciler için harici DNS çözümlemesine izin vermeyen açık proxy yapılandırmalarına sahip dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantı testleri devam edebilir.
Karma Veri Güvenliği Gereksinimleri
Cisco Webex Lisans Gereksinimleri
Karma Veri Güvenliğini dağıtmak için:
Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)
Docker Masaüstü Gereksinimleri
HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz Docker Desktop için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog gönderisine bakın, " Docker, Ürün Aboneliklerimizi Güncelliyor ve Genişletiyor ".
X.509 Sertifika Gereksinimleri
Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:
Gereksinimi | Ayrıntılar |
---|---|
| Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz. |
| CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin. |
| KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez. |
| Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir. |
KMS yazılımı, anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamalarını zorunlu kılmaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi genişletilmiş anahtar kullanım kısıtlamalarının her bir sertifikaya uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak uygundur.
Sanal Toplantı Sahibi Gereksinimleri
Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:
Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.
ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı
Veritabanı sunucusu gereksinimleri
Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur. |
Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:
PostgreSQL'ın | Microsoft SQL Server'ın | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) | Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) |
HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:
PostgreSQL'ın | Microsoft SQL Server'ın |
---|---|
Postgres JDBC sürücüsü 42.2.5 | SQL Server JDBC sürücüsü 4.6 Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları). |
Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler
HDS düğümlerinin Microsoft SQL Server'daki keystore veritabanınıza erişim sağlamak için Windows kimlik doğrulaması kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:
HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.
HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.
Harici bağlantı gereklilikleri
HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:
Uygulama | Protokol | Bağlantı Noktası | Uygulamadan Yön | Hedef |
---|---|---|---|---|
Karma Veri Güvenliği düğümleri | TCP | 443 | Giden HTTPS ve WSS |
|
HDS Kurulum Aracı | TCP | 443 | Giden HTTPS |
|
Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünür olmamalıdır. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir. |
Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:
Bölge | Common Identity Toplantı Sahibi URL'leri |
---|---|
Kuzey ve Güney Amerika |
|
Avrupa Birliği |
|
Kanada |
|
Proxy Sunucusu Gereksinimleri
Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.
Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).
Açık proxy—Squid.
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir (wss:) bağlantılar. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.
Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
HTTP veya HTTPS ile kimlik doğrulama yok
HTTP veya HTTPS ile temel kimlik doğrulama
Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden)
wbx2.com
veciscospark.com
sorunu çözecektir.
Karma Veri Güvenliği Ön Koşullarını Tamamlama
1 | Webex kuruluşunuzun Cisco Webex Control Hub için Pro Pack’te etkinleştirildiğinden emin olun ve kuruluşun tam yönetici haklarına sahip bir hesabın kimlik bilgilerini alın. Bu süreçle ilgili yardım için Cisco iş ortağınıza veya hesap yöneticinize başvurun. | ||
2 | HDS dağıtımınız için bir etki alanı adı seçin (örneğin, | ||
3 | Kümenizdeki Karma Veri Güvenliği düğümleri olarak ayarlayacağınız aynı sanal toplantı sahiplerini hazırlayın. Sanal Toplantı Sahibi Gereksinimlerindeki gereksinimleri karşılayan aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir) gerekir. | ||
4 | Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev yapacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun güvenli veri merkezinde sanal toplantı sahipleri ile birlikte ortak olması gerekir. | ||
5 | Hızlı felaket kurtarma için farklı bir veri merkezinde bir yedekleme ortamı oluşturun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. | ||
6 | Kümedeki düğümlerden günlükleri toplamak için bir sistem günlüğü toplantı sahibi ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür.). | ||
7 | Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için en azından, Karma Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemeniz gerekir.
Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanı ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir. | ||
8 | Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun. | ||
9 | Docker'ı ( https://www.docker.com), desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080. Docker örneğini, tüm Karma Veri Güvenliği düğümlerinin yerel yapılandırma bilgilerini derleyen HDS Kurulum Aracı’nı indirip çalıştırmak için kullanabilirsiniz. Kuruluşunuzun Docker Masaüstü lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri . HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır. | ||
10 | Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun. | ||
11 | Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de adı verilen bir grup oluşturun
|
Karma Veri Güvenliği Dağıtım Görev Akışı
Başlamadan önce
1 |
OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin. | ||
2 | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın. | ||
3 | HDS Ana Bilgisayar OVA’sını Yükleme OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.
| ||
4 | Karma Veri Güvenliği VM'sini Ayarlama VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın. | ||
5 | HDS Yapılandırma ISO'sunu Yükleme ve Bağlama HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın. | ||
6 | Proxy Entegrasyonu için HDS Düğümünü Yapılandırma Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin. | ||
7 |
Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin. | ||
8 | Daha Fazla Düğüm Oluşturma ve Kaydetme Küme kurulumunu tamamlayın. | ||
9 | Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm) Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
Yükleme Dosyalarını Indir
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın. | ||||
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın. Kart devre dışıysa veya kart görmüyorsanız hesap ekibinizle veya iş ortağı kuruluşunuzla iletişime geçin. Onlara hesap numaranızı verin ve kuruluşunuzun Karma Veri Güvenliği için etkinleştirilmesini isteyin. Hesap numarasını bulmak için kuruluş adınızın yanındaki sağ üst köşedeki dişli simgesine tıklayın.
| ||||
3 | Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın. OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.
| ||||
4 | Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın. |
HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma
Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
Veritabanı kimlik bilgileri
Sertifika güncellemeleri
Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.
1 | Makinenizin komut satırına ortamınız için uygun komutu girin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
2 | Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
| ||||||||||||
3 | Parola isteminde şu karma değeri girin:
| ||||||||||||
4 | Ortamınız için en son kararlı görüntüyü indirin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
5 | Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:
Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz. | ||||||||||||
6 |
Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler. | ||||||||||||
7 | Istendiğinde, Control Hub müşteri yöneticisi oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişime izin vermek için Oturum Aç seçeneğine tıklayın. | ||||||||||||
8 | Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın. | ||||||||||||
9 | ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:
| ||||||||||||
10 | X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.
| ||||||||||||
11 | Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin: | ||||||||||||
12 | TLS Veritabanı Bağlantı Modu seçin:
Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç ayrıca sertifika imzalayanı ve varsa ana bilgisayar adını da doğrular. Bir test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı yok saymayı ve kuruluma devam etmeyi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.) | ||||||||||||
13 | Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın: | ||||||||||||
14 | (Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar bölümünden değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek parametredir:
| ||||||||||||
15 | Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin. Hizmet hesabı parolalarının dokuz aylık kullanım ömrü vardır. Parolalarınızın süresi dolmak üzereyken veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın. | ||||||||||||
16 | ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin. | ||||||||||||
17 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||||||||||||
18 | Kurulum aracını kapatmak için şunu yazın |
Sonraki işlemler
Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için bu düğüme ihtiyacınız vardır. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.
Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz. |
HDS Ana Bilgisayar OVA’sını Yükleme
1 | ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. | ||||||
2 | Dosya > OVF Şablonunu Dağıt'ı seçin. | ||||||
3 | Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
4 | Üzerindeki Bir isim ve klasör seçin sayfa, bir girin Sanal makine adı düğüm için (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından mcrypt_enc_get_iv_size. | ||||||
5 | Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size. Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür. | ||||||
6 | Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın. | ||||||
7 | üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
8 | Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder. | ||||||
9 | Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin. | ||||||
10 | Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:
Tercih edilirse, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları uygulayabilirsiniz.
| ||||||
11 | Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin .Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız. Sorun Giderme Ipuçları Düğüm kapsayıcıları ortaya çıkmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk önyükleme sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görünür. |
Karma Veri Güvenliği VM'sini Ayarlama
Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. Konsolu, OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için de kullanabilirsiniz.
1 | VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
|
2 | Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir. |
3 | HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin. |
4 | IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor. |
5 | (Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur. |
6 | Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın. |
HDS Yapılandırma ISO'sunu Yükleme ve Bağlama
Başlamadan önce
ISO dosyası ana anahtarı elinde tuttuğu için, Karma Veri Güvenliği sanal makinelerine ve değişiklik yapması gerekebilecek tüm yöneticilere erişim için yalnızca "bilme ihtiyacı" temelinde açıklanması gerekir. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.
1 | Bilgisayarınızdan ISO dosyasını yükleyin: |
2 | ISO dosyasını bağla: |
Sonraki işlemler
BT politikanız gerekirse, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını ayırabilirsiniz. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Ağ ortamı bir proxy gerektiriyorsa Karma Veri Güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Şeffaf bir inceleme proxy veya açık bir HTTPS proxy'si seçerseniz, kök sertifikayı yüklemek ve yüklemek için düğümün arabirimini kullanabilirsiniz. Ayrıca, proxy bağlantısını arabirimden kontrol edebilir ve olası sorunları giderebilirsiniz.
Başlamadan önce
Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
1 | HDS düğümü kurulum URL’sini girin |
2 | Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin:
Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin. |
3 | Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın. |
4 | Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün. |
5 | Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir. |
6 | Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır. |
7 | Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir. |
Ilk Düğümü Kümeye Kaydetme
Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | Şurada oturum açın: https://admin.webex.com. |
2 | Ekranın sol tarafındaki menüden Hizmetler'i seçin. |
3 | Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
|
4 | Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın. |
5 | Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas" |
6 | Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
|
7 | Düğüme Git düğmesine tıklayın. |
8 | Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
|
9 | Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
|
10 | Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.
|
Daha Fazla Düğüm Oluşturma ve Kaydetme
Şu anda, Karma Veri Güvenliği için Ön Koşulları Tamamla bölümünde oluşturduğunuz yedek sanal makineler, yalnızca olağanüstü durum kurtarma durumunda kullanılan bekleme ana bilgisayarlarıdır; bu ana kadar sisteme kaydedilmezler. Ayrıntılar için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma. |
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun. |
2 | Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın. |
3 | Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın. |
4 | Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın. |
5 | Düğümü kaydedin. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.
|
Sonraki işlemler
Denemeden Üretime Görev Akışı
Bir Karma Veri Güvenliği kümesi ayarladıktan sonra, bir pilot başlatabilir, ona kullanıcı ekleyebilir ve üretime geçmeye hazırlık olarak dağıtımınızı test etmek ve doğrulamak için kullanmaya başlayabilirsiniz.
Başlamadan önce
1 | Uygunsa, toplantı kaydını senkronize edin: Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, |
2 |
Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
3 | Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun. |
4 | Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın. |
5 | |
6 | Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: |
Deneme Sürümünü Etkinleştir
Başlamadan önce
Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, HdsTrialGroup
kuruluşunuz için bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
|
4 | Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın |
Karma Veri Güvenliği Dağıtımınızı Test Etme
Başlamadan önce
Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.
1 | Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Webex Uygulamasında pilot kullanıcılardan biri olarak oturum açın ve ardından bir alan oluşturun ve en az bir pilot ve pilot olmayan kullanıcı davet edin.
| ||
2 | Yeni alana mesaj gönderin. | ||
3 | Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin. |
Karma Veri Güvenliği Sağlığını Izleme
1 | Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin. |
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
|
3 | E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın. |
Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
Bir kullanıcıyı deneme sürümünden çıkarırsanız kullanıcının istemcisi KMS’niz yerine bulut KMS’sinden anahtarlar ve anahtar oluşturma isteyecektir. Istemcinin KMS'nizde depolanan bir anahtara ihtiyacı varsa bulut KMS bunu kullanıcı adına getirir.
Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi (bu prosedür yerine) kullanın HdsTrialGroup
; Grup üyelerini Control Hub'da görüntüleyebilirsiniz ancak bunları ekleyemez veya kaldıramazsınız.
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın. |
4 | Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet . |
Deneme Sürümünden Üretime Geçiş
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın. |
4 | Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın. |
Üretime Geçmeden Deneme Sürümünüzü Sonlandırın
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Deactivate kısmında Deactivate düğmesine tıklayın. |
4 | Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın. |
HDS Dağıtımını Yönetme
Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.
Küme Yükseltme Planı Ayarla
Yükseltme planını ayarlamak için:
1 | Control Hub’da Oturum Açın. |
2 | Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin. |
3 | Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin. |
4 | Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin. |
5 | Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz. |
Düğüm Yapılandırmasını Değiştirme
X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.
Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.
PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.
PostgreSQL'den Microsoft SQL Server'a veya tam tersi şekilde veri taşınmasını desteklemiyoruz. Veritabanı ortamını değiştirmek için yeni bir Karma Veri Güvenliği dağıtımını başlatın.
Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.
Güvenlik amacıyla Karma Veri Güvenliği, 9 aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Yapılandırma aracı oluşturur ve bu parolaları ISO yapılandırma dosyasının bir parçası olarak HDS düğümlerinizin her birine dağıtırsınız. Şirketinizin parolalarının geçerlilik süresi sona ermeye yaklaştığında, Webex ekibinden makinenizin hesabının parolasını sıfırlamanızı isteyen bir “Parola Geçerlilik Süresi Sona Erme Bildirimi” alırsınız. (E-posta, "Parolayı güncellemek için makine hesabı API kullanın" metnini içerir.) Parolalarınızın süresi henüz dolmadıysa, araç size iki seçenek sunar:
Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.
Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.
Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, Docker kapsayıcısını 1.e olarak getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.
1 | Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın. |
2 | Yalnızca bir HDS düğümü çalışıyorsa yeni bir VM düğümü oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha Fazla Düğüm Oluşturma ve Kaydetme. |
3 | Eski yapılandırma dosyası çalıştıran mevcut HDS düğümleri için ISO dosyasını bağlayın. Bir sonraki düğümü kapatmadan önce her bir düğümü güncelleyerek sırayla her düğümde aşağıdaki prosedürü gerçekleştirin: |
4 | Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın. |
Engellenen Harici DNS Çözünürlük Modunu Kapat
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Düğümün DNS sunucusu genel DNS adlarını çözümleyemezse düğüm otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer.
Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.
Başlamadan önce
1 | Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın. |
2 | Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet . |
3 | Güven Deposu & Proxy sayfasına gidin. |
4 | Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır. |
Sonraki işlemler
Düğümü Kaldırma
1 | ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. |
2 | Düğümü kaldır: |
3 | vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.) VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız. |
Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma
Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluştaki Karma Veri Güvenliğine atanan her bir kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyelerine geri almaya yetkili herhangi bir kullanıcıya geri döndürmekten de sorumludur.
Küme, bu anahtarları sağlamak için kritik işlevi gerçekleştirdiği için, kümenin çalışır durumda kalması ve uygun yedeklemelerin korunması zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriğinin KURTARILAMAYAN KAYIPLARINA neden olacaktır. Böyle bir kaybı önlemek için aşağıdaki uygulamalar zorunludur:
Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin. | ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, aşağıdaki yapılandırmayı ekleyin veya
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma
Standart HDS yapılandırması, ISO montajlı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte halde bırakmamayı tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasını ayırabilirsiniz.
Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO güncellediğinizde, güncellenmiş ISO’yu tüm HDS düğümlerinize monte etmeniz gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.
Başlamadan önce
Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.
1 | HDS düğümlerinizden birini kapatın. |
2 | vCenter Sunucu Aygıtında HDS düğümünü seçin. |
3 | Datastore ISO Dosyasının işaretini kaldırın. düzenleyin ve |
4 | HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun. |
5 | Her HDS düğümü için sırayla tekrarlayın. |
Uyarıları ve Sorun Gidermeyi Görüntüleme
Kümedeki tüm düğümler ulaşılamıyorsa veya küme zaman aşımı talep edecek kadar yavaş çalışıyorsa, Karma Veri Güvenliği dağıtımının kullanılamadığı düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamazsa aşağıdaki belirtilerle karşılaşırlar:
Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.
Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.
Uyarılar
Karma Veri Güvenliği kurulumuyla ilgili bir sorun varsa Control Hub kuruluş yöneticisine yönelik uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.
Uyarı | İşlem |
---|---|
Yerel veritabanı erişim hatası. |
Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin. |
Yerel veritabanı bağlantısı hatası. |
Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun. |
Bulut hizmeti erişim hatası. |
Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun. |
Bulut hizmeti kaydı yenileniyor. |
Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor. |
Bulut hizmeti kaydı kesildi. |
Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor. |
Hizmet henüz etkinleştirilmedi. |
Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın. |
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor. |
Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır. |
Bulut hizmetlerinde kimlik doğrulaması yapılamadı. |
Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin. |
Yerel Keystore dosyası açılamadı. |
Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin. |
Yerel sunucu sertifikası geçersiz. |
Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın. |
Ölçümler gönderilemiyor. |
Harici bulut hizmetlerine yerel ağ erişimini kontrol edin. |
/media/configdrive/hds dizini mevcut değil. |
Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın. |
Karma Veri Güvenliği Sorunlarını Giderme
1 | Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin. |
2 | Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. |
3 |
Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar
Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.
Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.
PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma
Başlamadan önce
OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.
1 | Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin |
2 | Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.
|
3 | Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın
|
4 | .p12 dosyasını uygun adla oluşturun
|
5 | Sunucu sertifikası ayrıntılarını kontrol edin. |
Sonraki işlemler
Karma Veri Güvenliği Ön Koşullarını Tamamlama’ya dönün. kullanacaksınız. hdsnode.p12
dosyası ve bunun için ayarladığınız parola, HDS Ana Bilgisayarları için Yapılandırma ISO Oluştur.
Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz. |
HDS Düğümleri ile Bulut Arasındaki Trafik
Giden Metrikler Toplama Trafiği
Karma Veri Güvenliği düğümleri, Webex buluta belirli ölçümler gönderir. Bunlar arasında maks. yığın, kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem ölçümleri; senkron ve asenkron iş parçacığı üzerindeki ölçümler; şifreleme bağlantıları eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılar üzerindeki ölçümler; veri deposundaki ölçümler; ve şifreleme bağlantısı ölçümleri bulunur. Düğümler şifreli anahtar materyali bant dışı (istekten ayrı olarak) bir kanal üzerinden gönderir.
Gelen Trafik
Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:
Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme
Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma
Websocket, Squid Proxy Ile Bağlanamıyor
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir ( wss:
) Karma Veri Güvenliğinin gerektirdiği bağlantılar. Bu bölümler, Squid'in çeşitli sürümlerini görmezden gelmek için nasıl yapılandırılacağı konusunda rehberlik sağlar wss:
hizmetlerin düzgün çalışması için trafik.
Mürekkep balığı 4 ve 5
Dosyayı on_unsupported_protocol
yönergesi squid.conf
:
on_unsupported_protocol tunnel all
Mürekkep balığı 3.5.27
Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf
. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Yeni ve değiştirilmiş bilgiler
Tarih | Değişiklikler Yapıldı | ||
---|---|---|---|
20 Ekim 2023 Salı |
| ||
07 Ağustos 2023 |
| ||
23 Mayıs 2023 |
| ||
06 Aralık 2022 |
| ||
23 Kasım 2022 |
| ||
13 Ekim 2021 | HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri. | ||
24 Haziran 2021 | Başka bir sertifika istemek için özel anahtar dosyasını ve CSR'yi yeniden kullanabileceğinizi unutmayın. Ayrıntılar için PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma bölümüne bakın. | ||
30 Nisan 2021 Cuma | Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri . | ||
24 Şubat 2021 | HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma. | ||
2 Şubat 2021 | HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma. | ||
11 Ocak 2021 Çarşamba | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi. | ||
13 Ekim 2020 | |||
8 Ekim 2020 Perşembe | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
14 Ağustos 2020 | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
5 Ağustos 2020 Çarşamba | Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin. Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
16 Haziran 2020 Salı | Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi. | ||
4 Haziran 2020 Perşembe | Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi. | ||
29 Mayıs 2020 Cuma | HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, kullanıcı arabirimi değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi. | ||
5 Mayıs 2020 Salı | Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
21 Nisan 2020 Çarşamba | Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi. | ||
1 Nisan 2020 | Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi. | ||
20 Şubat 2020 | HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi. | ||
4 Şubat 2020 | Proxy Sunucusu Gereksinimleri Güncellendi. | ||
16 Aralık 2019 Pazartesi | Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu. | ||
19 Kasım 2019 | Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi: | ||
8 Kasım 2019 | Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz. Aşağıdaki bölümler uygun olarak güncellendi:
| ||
6 Eylül 2019 | Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi. | ||
29 Ağustos 2019 | Squid proxy'lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırma konusunda kılavuzluk ile Karma Veri Güvenliği eki için Squid proxy'lerini yapılandırma eklendi. | ||
20 Ağustos 2019 | Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi. Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın. | ||
13 Haziran 2019 Çarşamba | Senkronize etmek için bir hatırlatıcıyla Deneme Sürümü Üretim Görev Akışına güncellendi HdsTrialGroup kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce grup nesnesini. | ||
6 Mart 2019 Çarşamba |
| ||
28 Şubat 2019 Cuma |
| ||
26 Şubat 2019 Salı |
| ||
24 Ocak 2019 |
| ||
5 Kasım 2018 |
| ||
19 Ekim 2018 Çarşamba |
| ||
31 Temmuz 2018 |
| ||
21 Mayıs 2018 Pazartesi | Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:
| ||
11 Nisan 2018 Çarşamba |
| ||
22 Şubat 2018 |
| ||
15 Şubat 2018 |
| ||
18 Ocak 2018 |
| ||
2 Kasım 2017 |
| ||
18 Ağustos 2017 | Ilk yayımlanma |
Karma Veri Güvenliğine Genel Bakış
Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşime giren Webex App istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifrelerini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.
Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Hibrit Veri Güvenliği, KMS'yi ve güvenlikle ilgili diğer işlevleri kuruluş verileri merkezinize taşır, böylece şifrelenmiş içeriğinizin anahtarları sizden başka kimsede kalmaz.
Güvenlik Alanı Mimarisi
Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.
Karma Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun bulut alemlerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik alanından mantıksal ve fiziksel olarak ayrıdır. Her ikisi de, şifreli içeriğin nihayetinde depolandığı bölgeden ayrıdır, veri merkezi C'de.
Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek için bir mesaj oluşturduğunda aşağıdaki adımlar gerçekleşir:
Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.
Karma Veri Güvenliğini dağıttığınızda, güvenlik erişim alanı işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşıyın. Webex’i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco’nun alemlerinde kalır.
Diğer Kuruluşlarla Iş Birliği Yapma
Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.
Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .
Karma Veri Güvenliğini Dağıtma Beklentileri
Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.
Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:
Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.
Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybı, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:
Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.
Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur. |
Yüksek Düzey Kurulum Süreci
Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:
Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.
Karma Veri Güvenliği Dağıtım Modeli
Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutu ile iletişim kurar.
Kurulum işlemi sırasında, sağladığınız sanal makinelerdeki sanal aygıtın kurulumunu yapmak için size OVA dosyasını sunuyoruz. Her düğüme monte ettiğiniz özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracı'nı kullanabilirsiniz. Karma Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanınızı kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)
Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç tanesini öneriyoruz ve en fazla beş taneniz olabilir. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, bir seferde yalnızca bir düğümü yükseltir.)
Bir kümedeki tüm düğümler aynı anahtar veri deposuna ve aynı sistem günlüğü sunucusuna erişim sağlar. Düğümlerin kendileri vatansızdır ve anahtar istekleri bulut tarafından yönlendirildiği şekilde round-robin tarzında yönetir.
Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.
Her kuruluş için yalnızca tek bir küme destekliyoruz.
Karma Veri Güvenliği Deneme Modu
Karma Veri Güvenliği dağıtımını ayarladıktan sonra, ilk önce bir dizi pilot kullanıcıyla deneyin. Deneme süresi boyunca bu kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenlik alanını kullanmaya devam eder.
Deneme sırasında dağıtıma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşim kurdukları tüm kullanıcılar mesajlara ve içeriğe erişimlerini kaybedecektir. Kullanıcılar, Webex Uygulamasında “Bu mesajın şifresi çözülemez” ifadesini görecektir.
Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerine yönelik kilit veri deposu yedeklemelerini ve ISO yapılandırma dosyasını başarıyla muhafaza edip etmediğinize bağlıdır.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi
Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.
Aktif ve bekleme veri merkezlerinin veri tabanları birbirleriyle eşitlenir ve bu da yük devretme işlemini gerçekleştirmek için harcanan süreyi en aza indirecektir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kaydedildiğinden ancak trafiği işlemediğinden emin olan ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezinin düğümleri HDS yazılımının en son sürümüyle her zaman güncel kalır.
Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır. |
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu
Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:
Başlamadan önce
Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.
| ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, düğümü pasif modda tutmak için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm kuruluşa kaydedilir ve buluta bağlanır, ancak hiçbir trafiği işlemez.
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
Yapılandırmadan sonra passiveMode
ISO dosyasında ve kaydetmeden ISO dosyasının başka bir kopyasını oluşturabilirsiniz passiveMode
yapılandırıp güvenli bir konuma kaydedin. ISO dosyasının bu kopyası olmadan passiveMode
yapılandırılmış, olağanüstü durum kurtarma sırasında hızlı yük devretme işlemine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.
Proxy Desteği
Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde proxy'yi Kurulum sonra sertifika yönetimi ve genel bağlantı durumunu kontrol etmek için düğümlerde bir platform yöneticisi arabirimi kullanabilirsiniz.
Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:
Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
Yok—Başka kimlik doğrulaması gerekmez.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Karma Veri Güvenliği Düğümleri ve Proxy Örneği
Bu şemada Karma Veri Güvenliği, ağ ve proxy arasındaki örnek bir bağlantı gösterilmektedir. Şeffaf inceleme ve HTTPS'nin açık inceleme proxy seçenekleri için proxy ve Karma Veri Güvenliği düğümlerine aynı kök sertifikasının yüklenmesi gerekir.
Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Dahili istemciler için harici DNS çözümlemesine izin vermeyen açık proxy yapılandırmalarına sahip dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantı testleri devam edebilir.
Karma Veri Güvenliği Gereksinimleri
Cisco Webex Lisans Gereksinimleri
Karma Veri Güvenliğini dağıtmak için:
Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)
Docker Masaüstü Gereksinimleri
HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz Docker Desktop için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog gönderisine bakın, " Docker, Ürün Aboneliklerimizi Güncelliyor ve Genişletiyor ".
X.509 Sertifika Gereksinimleri
Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:
Gereksinimi | Ayrıntılar |
---|---|
| Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz. |
| CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin. |
| KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez. |
| Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir. |
KMS yazılımı, anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamalarını zorunlu kılmaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi genişletilmiş anahtar kullanım kısıtlamalarının her bir sertifikaya uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak uygundur.
Sanal Toplantı Sahibi Gereksinimleri
Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:
Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.
ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı
Veritabanı sunucusu gereksinimleri
Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur. |
Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:
PostgreSQL'ın | Microsoft SQL Server'ın | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) | Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) |
HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:
PostgreSQL'ın | Microsoft SQL Server'ın |
---|---|
Postgres JDBC sürücüsü 42.2.5 | SQL Server JDBC sürücüsü 4.6 Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları). |
Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler
HDS düğümlerinin Microsoft SQL Server'daki keystore veritabanınıza erişim sağlamak için Windows kimlik doğrulaması kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:
HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.
HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.
Harici bağlantı gereklilikleri
HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:
Uygulama | Protokol | Bağlantı Noktası | Uygulamadan Yön | Hedef |
---|---|---|---|---|
Karma Veri Güvenliği düğümleri | TCP | 443 | Giden HTTPS ve WSS |
|
HDS Kurulum Aracı | TCP | 443 | Giden HTTPS |
|
Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünür olmamalıdır. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir. |
Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:
Bölge | Common Identity Toplantı Sahibi URL'leri |
---|---|
Kuzey ve Güney Amerika |
|
Avrupa Birliği |
|
Kanada |
|
Proxy Sunucusu Gereksinimleri
Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.
Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).
Açık proxy—Squid.
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir (wss:) bağlantılar. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.
Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
HTTP veya HTTPS ile kimlik doğrulama yok
HTTP veya HTTPS ile temel kimlik doğrulama
Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden)
wbx2.com
veciscospark.com
sorunu çözecektir.
Karma Veri Güvenliği Ön Koşullarını Tamamlama
1 | Webex kuruluşunuzun Cisco Webex Control Hub için Pro Pack’te etkinleştirildiğinden emin olun ve kuruluşun tam yönetici haklarına sahip bir hesabın kimlik bilgilerini alın. Bu süreçle ilgili yardım için Cisco iş ortağınıza veya hesap yöneticinize başvurun. | ||
2 | HDS dağıtımınız için bir etki alanı adı seçin (örneğin, | ||
3 | Kümenizdeki Karma Veri Güvenliği düğümleri olarak ayarlayacağınız aynı sanal toplantı sahiplerini hazırlayın. Sanal Toplantı Sahibi Gereksinimlerindeki gereksinimleri karşılayan aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir) gerekir. | ||
4 | Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev yapacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun güvenli veri merkezinde sanal toplantı sahipleri ile birlikte ortak olması gerekir. | ||
5 | Hızlı felaket kurtarma için farklı bir veri merkezinde bir yedekleme ortamı oluşturun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. | ||
6 | Kümedeki düğümlerden günlükleri toplamak için bir sistem günlüğü toplantı sahibi ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür.). | ||
7 | Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için en azından, Karma Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemeniz gerekir.
Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanı ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir. | ||
8 | Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun. | ||
9 | Docker'ı ( https://www.docker.com), desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080. Docker örneğini, tüm Karma Veri Güvenliği düğümlerinin yerel yapılandırma bilgilerini derleyen HDS Kurulum Aracı’nı indirip çalıştırmak için kullanabilirsiniz. Kuruluşunuzun Docker Masaüstü lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri . HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır. | ||
10 | Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun. | ||
11 | Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de adı verilen bir grup oluşturun
|
Karma Veri Güvenliği Dağıtım Görev Akışı
Başlamadan önce
1 |
OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin. | ||
2 | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın. | ||
3 | HDS Ana Bilgisayar OVA’sını Yükleme OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.
| ||
4 | Karma Veri Güvenliği VM'sini Ayarlama VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın. | ||
5 | HDS Yapılandırma ISO'sunu Yükleme ve Bağlama HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın. | ||
6 | Proxy Entegrasyonu için HDS Düğümünü Yapılandırma Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin. | ||
7 |
Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin. | ||
8 | Daha Fazla Düğüm Oluşturma ve Kaydetme Küme kurulumunu tamamlayın. | ||
9 | Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm) Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
Yükleme Dosyalarını Indir
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın. | ||||
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın. Kart devre dışıysa veya kart görmüyorsanız hesap ekibinizle veya iş ortağı kuruluşunuzla iletişime geçin. Onlara hesap numaranızı verin ve kuruluşunuzun Karma Veri Güvenliği için etkinleştirilmesini isteyin. Hesap numarasını bulmak için kuruluş adınızın yanındaki sağ üst köşedeki dişli simgesine tıklayın.
| ||||
3 | Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın. OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.
| ||||
4 | Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın. |
HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma
Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
Veritabanı kimlik bilgileri
Sertifika güncellemeleri
Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.
1 | Makinenizin komut satırına ortamınız için uygun komutu girin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
2 | Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
| ||||||||||||
3 | Parola isteminde şu karma değeri girin:
| ||||||||||||
4 | Ortamınız için en son kararlı görüntüyü indirin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
5 | Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:
Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz. | ||||||||||||
6 |
Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler. | ||||||||||||
7 | Istendiğinde, Control Hub müşteri yöneticisi oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişime izin vermek için Oturum Aç seçeneğine tıklayın. | ||||||||||||
8 | Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın. | ||||||||||||
9 | ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:
| ||||||||||||
10 | X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.
| ||||||||||||
11 | Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin: | ||||||||||||
12 | TLS Veritabanı Bağlantı Modu seçin:
Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç ayrıca sertifika imzalayanı ve varsa ana bilgisayar adını da doğrular. Bir test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı yok saymayı ve kuruluma devam etmeyi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.) | ||||||||||||
13 | Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın: | ||||||||||||
14 | (Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar bölümünden değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek parametredir:
| ||||||||||||
15 | Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin. Hizmet hesabı parolalarının dokuz aylık kullanım ömrü vardır. Parolalarınızın süresi dolmak üzereyken veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın. | ||||||||||||
16 | ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin. | ||||||||||||
17 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||||||||||||
18 | Kurulum aracını kapatmak için şunu yazın |
Sonraki işlemler
Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için bu düğüme ihtiyacınız vardır. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.
Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz. |
HDS Ana Bilgisayar OVA’sını Yükleme
1 | ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. | ||||||
2 | Dosya > OVF Şablonunu Dağıt'ı seçin. | ||||||
3 | Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
4 | Üzerindeki Bir isim ve klasör seçin sayfa, bir girin Sanal makine adı düğüm için (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından mcrypt_enc_get_iv_size. | ||||||
5 | Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size. Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür. | ||||||
6 | Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın. | ||||||
7 | üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
8 | Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder. | ||||||
9 | Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin. | ||||||
10 | Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:
Tercih edilirse, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları uygulayabilirsiniz.
| ||||||
11 | Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin .Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız. Sorun Giderme Ipuçları Düğüm kapsayıcıları ortaya çıkmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk önyükleme sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görünür. |
Karma Veri Güvenliği VM'sini Ayarlama
Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. Konsolu, OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için de kullanabilirsiniz.
1 | VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
|
2 | Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir. |
3 | HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin. |
4 | IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor. |
5 | (Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur. |
6 | Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın. |
HDS Yapılandırma ISO'sunu Yükleme ve Bağlama
Başlamadan önce
ISO dosyası ana anahtarı elinde tuttuğu için, Karma Veri Güvenliği sanal makinelerine ve değişiklik yapması gerekebilecek tüm yöneticilere erişim için yalnızca "bilme ihtiyacı" temelinde açıklanması gerekir. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.
1 | Bilgisayarınızdan ISO dosyasını yükleyin: |
2 | ISO dosyasını bağla: |
Sonraki işlemler
BT politikanız gerekirse, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını ayırabilirsiniz. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Ağ ortamı bir proxy gerektiriyorsa Karma Veri Güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Şeffaf bir inceleme proxy veya açık bir HTTPS proxy'si seçerseniz, kök sertifikayı yüklemek ve yüklemek için düğümün arabirimini kullanabilirsiniz. Ayrıca, proxy bağlantısını arabirimden kontrol edebilir ve olası sorunları giderebilirsiniz.
Başlamadan önce
Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
1 | HDS düğümü kurulum URL’sini girin |
2 | Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin:
Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin. |
3 | Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın. |
4 | Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün. |
5 | Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir. |
6 | Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır. |
7 | Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir. |
Ilk Düğümü Kümeye Kaydetme
Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | Şurada oturum açın: https://admin.webex.com. |
2 | Ekranın sol tarafındaki menüden Hizmetler'i seçin. |
3 | Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
|
4 | Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın. |
5 | Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas" |
6 | Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
|
7 | Düğüme Git düğmesine tıklayın. |
8 | Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
|
9 | Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
|
10 | Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.
|
Daha Fazla Düğüm Oluşturma ve Kaydetme
Şu anda, Karma Veri Güvenliği için Ön Koşulları Tamamla bölümünde oluşturduğunuz yedek sanal makineler, yalnızca olağanüstü durum kurtarma durumunda kullanılan bekleme ana bilgisayarlarıdır; bu ana kadar sisteme kaydedilmezler. Ayrıntılar için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma. |
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun. |
2 | Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın. |
3 | Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın. |
4 | Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın. |
5 | Düğümü kaydedin. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.
|
Sonraki işlemler
Denemeden Üretime Görev Akışı
Bir Karma Veri Güvenliği kümesi ayarladıktan sonra, bir pilot başlatabilir, ona kullanıcı ekleyebilir ve üretime geçmeye hazırlık olarak dağıtımınızı test etmek ve doğrulamak için kullanmaya başlayabilirsiniz.
Başlamadan önce
1 | Uygunsa, toplantı kaydını senkronize edin: Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, |
2 |
Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
3 | Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun. |
4 | Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın. |
5 | |
6 | Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: |
Deneme Sürümünü Etkinleştir
Başlamadan önce
Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, HdsTrialGroup
kuruluşunuz için bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
|
4 | Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın |
Karma Veri Güvenliği Dağıtımınızı Test Etme
Başlamadan önce
Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.
1 | Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Webex Uygulamasında pilot kullanıcılardan biri olarak oturum açın ve ardından bir alan oluşturun ve en az bir pilot ve pilot olmayan kullanıcı davet edin.
| ||
2 | Yeni alana mesaj gönderin. | ||
3 | Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin. |
Karma Veri Güvenliği Sağlığını Izleme
1 | Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin. |
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
|
3 | E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın. |
Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
Bir kullanıcıyı deneme sürümünden çıkarırsanız kullanıcının istemcisi KMS’niz yerine bulut KMS’sinden anahtarlar ve anahtar oluşturma isteyecektir. Istemcinin KMS'nizde depolanan bir anahtara ihtiyacı varsa bulut KMS bunu kullanıcı adına getirir.
Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi (bu prosedür yerine) kullanın HdsTrialGroup
; Grup üyelerini Control Hub'da görüntüleyebilirsiniz ancak bunları ekleyemez veya kaldıramazsınız.
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın. |
4 | Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet . |
Deneme Sürümünden Üretime Geçiş
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın. |
4 | Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın. |
Üretime Geçmeden Deneme Sürümünüzü Sonlandırın
1 | Control Hub'da oturum açın ve Hizmetler'i seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Deactivate kısmında Deactivate düğmesine tıklayın. |
4 | Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın. |
HDS Dağıtımını Yönetme
Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.
Küme Yükseltme Planı Ayarla
Yükseltme planını ayarlamak için:
1 | Control Hub’da Oturum Açın. |
2 | Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin. |
3 | Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin. |
4 | Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin. |
5 | Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz. |
Düğüm Yapılandırmasını Değiştirme
X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.
Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.
PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.
PostgreSQL'den Microsoft SQL Server'a veya tam tersi şekilde veri taşınmasını desteklemiyoruz. Veritabanı ortamını değiştirmek için yeni bir Karma Veri Güvenliği dağıtımını başlatın.
Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.
Güvenlik amacıyla Karma Veri Güvenliği, 9 aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Yapılandırma aracı oluşturur ve bu parolaları ISO yapılandırma dosyasının bir parçası olarak HDS düğümlerinizin her birine dağıtırsınız. Şirketinizin parolalarının geçerlilik süresi sona ermeye yaklaştığında, Webex ekibinden makinenizin hesabının parolasını sıfırlamanızı isteyen bir “Parola Geçerlilik Süresi Sona Erme Bildirimi” alırsınız. (E-posta, "Parolayı güncellemek için makine hesabı API kullanın" metnini içerir.) Parolalarınızın süresi henüz dolmadıysa, araç size iki seçenek sunar:
Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.
Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.
Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, Docker kapsayıcısını 1.e olarak getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.
1 | Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın. |
2 | Yalnızca bir HDS düğümü çalışıyorsa yeni bir VM düğümü oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha Fazla Düğüm Oluşturma ve Kaydetme. |
3 | Eski yapılandırma dosyası çalıştıran mevcut HDS düğümleri için ISO dosyasını bağlayın. Bir sonraki düğümü kapatmadan önce her bir düğümü güncelleyerek sırayla her düğümde aşağıdaki prosedürü gerçekleştirin: |
4 | Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın. |
Engellenen Harici DNS Çözünürlük Modunu Kapat
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Düğümün DNS sunucusu genel DNS adlarını çözümleyemezse düğüm otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer.
Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.
Başlamadan önce
1 | Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın. |
2 | Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet . |
3 | Güven Deposu & Proxy sayfasına gidin. |
4 | Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır. |
Sonraki işlemler
Düğümü Kaldırma
1 | ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. |
2 | Düğümü kaldır: |
3 | vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.) VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız. |
Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma
Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluştaki Karma Veri Güvenliğine atanan her bir kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyelerine geri almaya yetkili herhangi bir kullanıcıya geri döndürmekten de sorumludur.
Küme, bu anahtarları sağlamak için kritik işlevi gerçekleştirdiği için, kümenin çalışır durumda kalması ve uygun yedeklemelerin korunması zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriğinin KURTARILAMAYAN KAYIPLARINA neden olacaktır. Böyle bir kaybı önlemek için aşağıdaki uygulamalar zorunludur:
Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin. | ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, aşağıdaki yapılandırmayı ekleyin veya
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma
Standart HDS yapılandırması, ISO montajlı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte halde bırakmamayı tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasını ayırabilirsiniz.
Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO güncellediğinizde, güncellenmiş ISO’yu tüm HDS düğümlerinize monte etmeniz gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.
Başlamadan önce
Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.
1 | HDS düğümlerinizden birini kapatın. |
2 | vCenter Sunucu Aygıtında HDS düğümünü seçin. |
3 | Datastore ISO Dosyasının işaretini kaldırın. düzenleyin ve |
4 | HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun. |
5 | Her HDS düğümü için sırayla tekrarlayın. |
Uyarıları ve Sorun Gidermeyi Görüntüleme
Kümedeki tüm düğümler ulaşılamıyorsa veya küme zaman aşımı talep edecek kadar yavaş çalışıyorsa, Karma Veri Güvenliği dağıtımının kullanılamadığı düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamazsa aşağıdaki belirtilerle karşılaşırlar:
Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.
Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.
Uyarılar
Karma Veri Güvenliği kurulumuyla ilgili bir sorun varsa Control Hub kuruluş yöneticisine yönelik uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.
Uyarı | İşlem |
---|---|
Yerel veritabanı erişim hatası. |
Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin. |
Yerel veritabanı bağlantısı hatası. |
Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun. |
Bulut hizmeti erişim hatası. |
Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun. |
Bulut hizmeti kaydı yenileniyor. |
Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor. |
Bulut hizmeti kaydı kesildi. |
Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor. |
Hizmet henüz etkinleştirilmedi. |
Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın. |
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor. |
Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır. |
Bulut hizmetlerinde kimlik doğrulaması yapılamadı. |
Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin. |
Yerel Keystore dosyası açılamadı. |
Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin. |
Yerel sunucu sertifikası geçersiz. |
Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın. |
Ölçümler gönderilemiyor. |
Harici bulut hizmetlerine yerel ağ erişimini kontrol edin. |
/media/configdrive/hds dizini mevcut değil. |
Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın. |
Karma Veri Güvenliği Sorunlarını Giderme
1 | Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin. |
2 | Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. |
3 |
Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar
Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.
Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.
PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma
Başlamadan önce
OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.
1 | Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin |
2 | Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.
|
3 | Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın
|
4 | .p12 dosyasını uygun adla oluşturun
|
5 | Sunucu sertifikası ayrıntılarını kontrol edin. |
Sonraki işlemler
Karma Veri Güvenliği Ön Koşullarını Tamamlama’ya dönün. kullanacaksınız. hdsnode.p12
dosyası ve bunun için ayarladığınız parola, HDS Ana Bilgisayarları için Yapılandırma ISO Oluştur.
Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz. |
HDS Düğümleri ile Bulut Arasındaki Trafik
Giden Metrikler Toplama Trafiği
Karma Veri Güvenliği düğümleri, Webex buluta belirli ölçümler gönderir. Bunlar arasında maks. yığın, kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem ölçümleri; senkron ve asenkron iş parçacığı üzerindeki ölçümler; şifreleme bağlantıları eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılar üzerindeki ölçümler; veri deposundaki ölçümler; ve şifreleme bağlantısı ölçümleri bulunur. Düğümler şifreli anahtar materyali bant dışı (istekten ayrı olarak) bir kanal üzerinden gönderir.
Gelen Trafik
Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:
Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme
Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma
Websocket, Squid Proxy Ile Bağlanamıyor
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir ( wss:
) Karma Veri Güvenliğinin gerektirdiği bağlantılar. Bu bölümler, Squid'in çeşitli sürümlerini görmezden gelmek için nasıl yapılandırılacağı konusunda rehberlik sağlar wss:
hizmetlerin düzgün çalışması için trafik.
Mürekkep balığı 4 ve 5
Dosyayı on_unsupported_protocol
yönergesi squid.conf
:
on_unsupported_protocol tunnel all
Mürekkep balığı 3.5.27
Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf
. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Yeni ve değiştirilmiş bilgiler
Tarih | Değişiklikler Yapıldı | ||
---|---|---|---|
20 Ekim 2023 Salı |
| ||
07 Ağustos 2023 |
| ||
23 Mayıs 2023 |
| ||
06 Aralık 2022 |
| ||
23 Kasım 2022 |
| ||
13 Ekim 2021 | HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri. | ||
24 Haziran 2021 | Başka bir sertifika istemek için özel anahtar dosyasını ve CSR'yi yeniden kullanabileceğinizi unutmayın. Ayrıntılar için PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma bölümüne bakın. | ||
30 Nisan 2021 Cuma | Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri . | ||
24 Şubat 2021 | HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma. | ||
2 Şubat 2021 | HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma. | ||
11 Ocak 2021 Çarşamba | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi. | ||
13 Ekim 2020 | |||
8 Ekim 2020 Perşembe | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
14 Ağustos 2020 | HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi. | ||
5 Ağustos 2020 Çarşamba | Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin. Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
16 Haziran 2020 Salı | Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi. | ||
4 Haziran 2020 Perşembe | Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi. | ||
29 Mayıs 2020 Cuma | HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, kullanıcı arabirimi değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi. | ||
5 Mayıs 2020 Salı | Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi. | ||
21 Nisan 2020 Çarşamba | Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi. | ||
1 Nisan 2020 | Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi. | ||
20 Şubat 2020 | HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi. | ||
4 Şubat 2020 | Proxy Sunucusu Gereksinimleri Güncellendi. | ||
16 Aralık 2019 Pazartesi | Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu. | ||
19 Kasım 2019 | Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi: | ||
8 Kasım 2019 | Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz. Aşağıdaki bölümler uygun olarak güncellendi:
| ||
6 Eylül 2019 | Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi. | ||
29 Ağustos 2019 | Squid proxy'lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırma konusunda kılavuzluk ile Karma Veri Güvenliği eki için Squid proxy'lerini yapılandırma eklendi. | ||
20 Ağustos 2019 | Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi. Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın. | ||
13 Haziran 2019 Çarşamba | Senkronize etmek için bir hatırlatıcıyla Deneme Sürümü Üretim Görev Akışına güncellendi HdsTrialGroup kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce grup nesnesini. | ||
6 Mart 2019 Çarşamba |
| ||
28 Şubat 2019 Cuma |
| ||
26 Şubat 2019 Salı |
| ||
24 Ocak 2019 |
| ||
5 Kasım 2018 |
| ||
19 Ekim 2018 Çarşamba |
| ||
31 Temmuz 2018 |
| ||
21 Mayıs 2018 Pazartesi | Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:
| ||
11 Nisan 2018 Çarşamba |
| ||
22 Şubat 2018 |
| ||
15 Şubat 2018 |
| ||
18 Ocak 2018 |
| ||
2 Kasım 2017 |
| ||
18 Ağustos 2017 | Ilk yayımlanma |
Karma Veri Güvenliğine Genel Bakış
Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşime giren Webex App istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifrelerini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.
Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Hibrit Veri Güvenliği, KMS'yi ve güvenlikle ilgili diğer işlevleri kuruluş verileri merkezinize taşır, böylece şifrelenmiş içeriğinizin anahtarları sizden başka kimsede kalmaz.
Güvenlik Alanı Mimarisi
Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.
Karma Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun bulut alemlerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik alanından mantıksal ve fiziksel olarak ayrıdır. Her ikisi de, şifreli içeriğin nihayetinde depolandığı bölgeden ayrıdır, veri merkezi C'de.
Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek için bir mesaj oluşturduğunda aşağıdaki adımlar gerçekleşir:
Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.
Karma Veri Güvenliğini dağıttığınızda, güvenlik erişim alanı işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşıyın. Webex’i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco’nun alemlerinde kalır.
Diğer Kuruluşlarla Iş Birliği Yapma
Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.
Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .
Karma Veri Güvenliğini Dağıtma Beklentileri
Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.
Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:
Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.
Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybı, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:
Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.
Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur. |
Yüksek Düzey Kurulum Süreci
Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:
Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.
Karma Veri Güvenliği Dağıtım Modeli
Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutu ile iletişim kurar.
Kurulum işlemi sırasında, sağladığınız sanal makinelerdeki sanal aygıtın kurulumunu yapmak için size OVA dosyasını sunuyoruz. Her düğüme monte ettiğiniz özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracı'nı kullanabilirsiniz. Karma Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanınızı kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)
Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç tanesini öneriyoruz ve en fazla beş taneniz olabilir. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, bir seferde yalnızca bir düğümü yükseltir.)
Bir kümedeki tüm düğümler aynı anahtar veri deposuna ve aynı sistem günlüğü sunucusuna erişim sağlar. Düğümlerin kendileri vatansızdır ve anahtar istekleri bulut tarafından yönlendirildiği şekilde round-robin tarzında yönetir.
Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.
Her kuruluş için yalnızca tek bir küme destekliyoruz.
Karma Veri Güvenliği Deneme Modu
Karma Veri Güvenliği dağıtımını ayarladıktan sonra, ilk önce bir dizi pilot kullanıcıyla deneyin. Deneme süresi boyunca bu kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenlik alanını kullanmaya devam eder.
Deneme sırasında dağıtıma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşim kurdukları tüm kullanıcılar mesajlara ve içeriğe erişimlerini kaybedecektir. Kullanıcılar, Webex Uygulamasında “Bu mesajın şifresi çözülemez” ifadesini görecektir.
Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerine yönelik kilit veri deposu yedeklemelerini ve ISO yapılandırma dosyasını başarıyla muhafaza edip etmediğinize bağlıdır.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi
Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.
Aktif ve bekleme veri merkezlerinin veri tabanları birbirleriyle eşitlenir ve bu da yük devretme işlemini gerçekleştirmek için harcanan süreyi en aza indirecektir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kaydedildiğinden ancak trafiği işlemediğinden emin olan ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezinin düğümleri HDS yazılımının en son sürümüyle her zaman güncel kalır.
Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır. |
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu
Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:
Başlamadan önce
Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.
1 | HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.
| ||
2 | Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın | ||
3 | Gelişmiş Ayarlar sayfasında, düğümü pasif modda tutmak için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm kuruluşa kaydedilir ve buluta bağlanır, ancak hiçbir trafiği işlemez.
| ||
4 | Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin. | ||
5 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||
6 | VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın. | ||
7 | Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.
| ||
8 | HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun. | ||
9 | Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.
|
Sonraki işlemler
Yapılandırmadan sonra passiveMode
ISO dosyasında ve kaydetmeden ISO dosyasının başka bir kopyasını oluşturabilirsiniz passiveMode
yapılandırıp güvenli bir konuma kaydedin. ISO dosyasının bu kopyası olmadan passiveMode
yapılandırılmış, olağanüstü durum kurtarma sırasında hızlı yük devretme işlemine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.
Proxy Desteği
Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde proxy'yi Kurulum sonra sertifika yönetimi ve genel bağlantı durumunu kontrol etmek için düğümlerde bir platform yöneticisi arabirimi kullanabilirsiniz.
Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:
Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
Yok—Başka kimlik doğrulaması gerekmez.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
Karma Veri Güvenliği Düğümleri ve Proxy Örneği
Bu şemada Karma Veri Güvenliği, ağ ve proxy arasındaki örnek bir bağlantı gösterilmektedir. Şeffaf inceleme ve HTTPS'nin açık inceleme proxy seçenekleri için proxy ve Karma Veri Güvenliği düğümlerine aynı kök sertifikasının yüklenmesi gerekir.
Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)
Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Dahili istemciler için harici DNS çözümlemesine izin vermeyen açık proxy yapılandırmalarına sahip dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantı testleri devam edebilir.
Karma Veri Güvenliği Gereksinimleri
Cisco Webex Lisans Gereksinimleri
Karma Veri Güvenliğini dağıtmak için:
Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)
Docker Masaüstü Gereksinimleri
HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz Docker Desktop için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog gönderisine bakın, " Docker, Ürün Aboneliklerimizi Güncelliyor ve Genişletiyor ".
X.509 Sertifika Gereksinimleri
Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:
Gereksinimi | Ayrıntılar |
---|---|
| Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz. |
| CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin. |
| KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez. |
| Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir. |
KMS yazılımı, anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamalarını zorunlu kılmaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi genişletilmiş anahtar kullanım kısıtlamalarının her bir sertifikaya uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak uygundur.
Sanal Toplantı Sahibi Gereksinimleri
Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:
Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.
ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı
Veritabanı sunucusu gereksinimleri
Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur. |
Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:
PostgreSQL'ın | Microsoft SQL Server'ın | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) | Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir) |
HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:
PostgreSQL'ın | Microsoft SQL Server'ın |
---|---|
Postgres JDBC sürücüsü 42.2.5 | SQL Server JDBC sürücüsü 4.6 Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları). |
Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler
HDS düğümlerinin Microsoft SQL Server'daki keystore veritabanınıza erişim sağlamak için Windows kimlik doğrulaması kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:
HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.
HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.
Harici bağlantı gereklilikleri
HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:
Uygulama | Protokol | Bağlantı Noktası | Uygulamadan Yön | Hedef |
---|---|---|---|---|
Karma Veri Güvenliği düğümleri | TCP | 443 | Giden HTTPS ve WSS |
|
HDS Kurulum Aracı | TCP | 443 | Giden HTTPS |
|
Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünür olmamalıdır. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir. |
Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:
Bölge | Common Identity Toplantı Sahibi URL'leri |
---|---|
Kuzey ve Güney Amerika |
|
Avrupa Birliği |
|
Kanada |
|
Proxy Sunucusu Gereksinimleri
Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.
Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).
Açık proxy—Squid.
HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir (wss:) bağlantılar. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.
Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
HTTP veya HTTPS ile kimlik doğrulama yok
HTTP veya HTTPS ile temel kimlik doğrulama
Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden)
wbx2.com
veciscospark.com
sorunu çözecektir.
Karma Veri Güvenliği Ön Koşullarını Tamamlama
1 | Webex kuruluşunuzun Cisco Webex Control Hub için Pro Pack’te etkinleştirildiğinden emin olun ve kuruluşun tam yönetici haklarına sahip bir hesabın kimlik bilgilerini alın. Bu süreçle ilgili yardım için Cisco iş ortağınıza veya hesap yöneticinize başvurun. | ||
2 | HDS dağıtımınız için bir etki alanı adı seçin (örneğin, | ||
3 | Kümenizdeki Karma Veri Güvenliği düğümleri olarak ayarlayacağınız aynı sanal toplantı sahiplerini hazırlayın. Sanal Toplantı Sahibi Gereksinimlerindeki gereksinimleri karşılayan aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir) gerekir. | ||
4 | Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev yapacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun güvenli veri merkezinde sanal toplantı sahipleri ile birlikte ortak olması gerekir. | ||
5 | Hızlı felaket kurtarma için farklı bir veri merkezinde bir yedekleme ortamı oluşturun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. | ||
6 | Kümedeki düğümlerden günlükleri toplamak için bir sistem günlüğü toplantı sahibi ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür.). | ||
7 | Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için en azından, Karma Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemeniz gerekir.
Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanı ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir. | ||
8 | Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun. | ||
9 | Docker'ı ( https://www.docker.com), desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080. Docker örneğini, tüm Karma Veri Güvenliği düğümlerinin yerel yapılandırma bilgilerini derleyen HDS Kurulum Aracı’nı indirip çalıştırmak için kullanabilirsiniz. Kuruluşunuzun Docker Masaüstü lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri . HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır. | ||
10 | Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun. | ||
11 | Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de adı verilen bir grup oluşturun
|
Karma Veri Güvenliği Dağıtım Görev Akışı
Başlamadan önce
1 |
OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin. | ||
2 | HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın. | ||
3 | HDS Ana Bilgisayar OVA’sını Yükleme OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.
| ||
4 | Karma Veri Güvenliği VM'sini Ayarlama VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın. | ||
5 | HDS Yapılandırma ISO'sunu Yükleme ve Bağlama HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın. | ||
6 | Proxy Entegrasyonu için HDS Düğümünü Yapılandırma Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin. | ||
7 |
Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin. | ||
8 | Daha Fazla Düğüm Oluşturma ve Kaydetme Küme kurulumunu tamamlayın. | ||
9 | Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm) Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
Yükleme Dosyalarını Indir
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın. | ||||
2 | Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın. Kart devre dışıysa veya kart görmüyorsanız hesap ekibinizle veya iş ortağı kuruluşunuzla iletişime geçin. Onlara hesap numaranızı verin ve kuruluşunuzun Karma Veri Güvenliği için etkinleştirilmesini isteyin. Hesap numarasını bulmak için kuruluş adınızın yanındaki sağ üst köşedeki dişli simgesine tıklayın.
| ||||
3 | Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın. OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.
| ||||
4 | Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın. |
HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma
Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.
Başlamadan önce
HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.
HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:
Açıklama
Değişken
Kimlik doğrulama olmadan HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Kimlik doğrulama olmadan HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Kimlik doğrulamalı HTTP Proxy
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Kimlik doğrulamalı HTTPS Proxy
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
Veritabanı kimlik bilgileri
Sertifika güncellemeleri
Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.
1 | Makinenizin komut satırına ortamınız için uygun komutu girin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
2 | Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
| ||||||||||||
3 | Parola isteminde şu karma değeri girin:
| ||||||||||||
4 | Ortamınız için en son kararlı görüntüyü indirin: Normal ortamlarda:
FedRAMP ortamlarında:
| ||||||||||||
5 | Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:
Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz. | ||||||||||||
6 |
Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler. | ||||||||||||
7 | Istendiğinde, Control Hub müşteri yöneticisi oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişime izin vermek için Oturum Aç seçeneğine tıklayın. | ||||||||||||
8 | Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın. | ||||||||||||
9 | ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:
| ||||||||||||
10 | X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.
| ||||||||||||
11 | Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin: | ||||||||||||
12 | TLS Veritabanı Bağlantı Modu seçin:
Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç ayrıca sertifika imzalayanı ve varsa ana bilgisayar adını da doğrular. Bir test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı yok saymayı ve kuruluma devam etmeyi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.) | ||||||||||||
13 | Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın: | ||||||||||||
14 | (Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar bölümünden değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek parametredir:
| ||||||||||||
15 | Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin. Hizmet hesabı parolalarının dokuz aylık kullanım ömrü vardır. Parolalarınızın süresi dolmak üzereyken veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın. | ||||||||||||
16 | ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin. | ||||||||||||
17 | Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın. | ||||||||||||
18 | Kurulum aracını kapatmak için şunu yazın |
Sonraki işlemler
Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için bu düğüme ihtiyacınız vardır. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.
Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz. |
HDS Ana Bilgisayar OVA’sını Yükleme
1 | ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın. | ||||||
2 | Dosya > OVF Şablonunu Dağıt'ı seçin. | ||||||
3 | Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
4 | Üzerindeki Bir isim ve klasör seçin sayfa, bir girin Sanal makine adı düğüm için (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından mcrypt_enc_get_iv_size. | ||||||
5 | Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size. Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür. | ||||||
6 | Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın. | ||||||
7 | üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size. | ||||||
8 | Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder. | ||||||
9 | Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin. | ||||||
10 | Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:
Tercih edilirse, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları uygulayabilirsiniz.
| ||||||
11 | Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin .Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız. Sorun Giderme Ipuçları Düğüm kapsayıcıları ortaya çıkmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk önyükleme sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görünür. |
Karma Veri Güvenliği VM'sini Ayarlama
Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. Konsolu, OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için de kullanabilirsiniz.
1 | VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
|
2 | Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir. |
3 | HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin. |
4 | IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor. |
5 | (Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur. |
6 | Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın. |
HDS Yapılandırma ISO'sunu Yükleme ve Bağlama
Başlamadan önce
ISO dosyası ana anahtarı elinde tuttuğu için, Karma Veri Güvenliği sanal makinelerine ve değişiklik yapması gerekebilecek tüm yöneticilere erişim için yalnızca "bilme ihtiyacı" temelinde açıklanması gerekir. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.
1 | Bilgisayarınızdan ISO dosyasını yükleyin: |
2 | ISO dosyasını bağla: |
Sonraki işlemler
BT politikanız gerekirse, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını ayırabilirsiniz. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Ağ ortamı bir proxy gerektiriyorsa Karma Veri Güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Şeffaf bir inceleme proxy veya açık bir HTTPS proxy'si seçerseniz, kök sertifikayı yüklemek ve yüklemek için düğümün arabirimini kullanabilirsiniz. Ayrıca, proxy bağlantısını arabirimden kontrol edebilir ve olası sorunları giderebilirsiniz.
Başlamadan önce
Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
1 | HDS düğümü kurulum URL’sini girin |
2 | Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin:
Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin. |
3 | Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın. |
4 | Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün. |
5 | Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir. |
6 | Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır. |
7 | Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir. |
Ilk Düğümü Kümeye Kaydetme
Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | Şurada oturum açın: https://admin.webex.com. |
2 | Ekranın sol tarafındaki menüden Hizmetler'i seçin. |
3 | Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
|
4 | Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın. |
5 | Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas" |
6 | Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
|
7 | Düğüme Git düğmesine tıklayın. |
8 | Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
|
9 | Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
|
10 | Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.
|
Daha Fazla Düğüm Oluşturma ve Kaydetme
Şu anda, Karma Veri Güvenliği için Ön Koşulları Tamamla bölümünde oluşturduğunuz yedek sanal makineler, yalnızca olağanüstü durum kurtarma durumunda kullanılan bekleme ana bilgisayarlarıdır; bu ana kadar sisteme kaydedilmezler. Ayrıntılar için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma. |
Başlamadan önce
Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.
1 | HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun. |
2 | Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın. |
3 | Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın. |
4 | Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın. |
5 | Düğümü kaydedin. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.
|
Sonraki işlemler
Denemeden Üretime Görev Akışı
Bir Karma Veri Güvenliği kümesi ayarladıktan sonra, bir pilot başlatabilir, ona kullanıcı ekleyebilir ve üretime geçmeye hazırlık olarak dağıtımınızı test etmek ve doğrulamak için kullanmaya başlayabilirsiniz.
Başlamadan önce
1 | Uygunsa, toplantı kaydını senkronize edin: Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, |
2 |
Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur. |
3 | Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun. |
4 | Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın. |
5 | |
6 | Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: |
Deneme Sürümünü Etkinleştir
Başlamadan önce
Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, HdsTrialGroup
kuruluşunuz için bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
1 | https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin. |
2 | Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın. |
3 | Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
|
4 | Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın |
Karma Veri Güvenliği Dağıtımınızı Test Etme
Başlamadan önce
Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.
1 | Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Webex Uygulamasında pilot kullanıcılardan biri olarak oturum açın ve ardından bir alan oluşturun ve en az bir pilot ve pilot olmayan kullanıcı davet edin.
| ||
2 | Yeni alana mesaj gönderin. | ||
3 | Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin. |