Geri bildiriminiz için teşekkürler.

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, kullanıcı arabirimi değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi.

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

29 Ağustos 2019 Squid proxy'lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırma konusunda kılavuzluk ile Karma Veri Güvenliği eki için Squid proxy'lerini yapılandırma eklendi.

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

13 Haziran 2019 Çarşamba Senkronize etmek için bir hatırlatıcıyla Deneme Sürümü Üretim Görev Akışına güncellendi HdsTrialGroup kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce grup nesnesini.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

Karma Veri Güvenliği artık bir veritabanı olarak Microsoft SQL Server'ı desteklemektedir. SQL Server Always On (Always On Yük Devretme Kümeleri ve Always On Kullanılabilirlik Grupları), Karma Veri Güvenliğinde kullanılan JDBC sürücüleri tarafından desteklenir. SQL Server ile dağıtım ile ilgili içerik eklendi.

Microsoft SQL Server desteği, yalnızca yeni Karma Veri Güvenliği dağıtımları için tasarlandı. Mevcut bir dağıtımda verilerin PostgreSQL’den Microsoft SQL Server’a geçirilmesini şu anda desteklemiyoruz.

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşime giren Webex App istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifrelerini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Hibrit Veri Güvenliği, KMS'yi ve güvenlikle ilgili diğer işlevleri kuruluş verileri merkezinize taşır, böylece şifrelenmiş içeriğinizin anahtarları sizden başka kimsede kalmaz.

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

***Ayırma Alanları (Karma Veri Güvenliği olmadan)***

Karma Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun bulut alemlerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik alanından mantıksal ve fiziksel olarak ayrıdır. Her ikisi de, şifreli içeriğin nihayetinde depolandığı bölgeden ayrıdır, veri merkezi C'de.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek için bir mesaj oluşturduğunda aşağıdaki adımlar gerçekleşir:

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik erişim alanı işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşıyın. Webex’i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco’nun alemlerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.

Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybı, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutu ile iletişim kurar.

Kurulum işlemi sırasında, sağladığınız sanal makinelerdeki sanal aygıtın kurulumunu yapmak için size OVA dosyasını sunuyoruz. Her düğüme monte ettiğiniz özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracı'nı kullanabilirsiniz. Karma Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanınızı kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç tanesini öneriyoruz ve en fazla beş taneniz olabilir. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, bir seferde yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna ve aynı sistem günlüğü sunucusuna erişim sağlar. Düğümlerin kendileri vatansızdır ve anahtar istekleri bulut tarafından yönlendirildiği şekilde round-robin tarzında yönetir.

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Karma Veri Güvenliği dağıtımını ayarladıktan sonra, ilk önce bir dizi pilot kullanıcıyla deneyin. Deneme süresi boyunca bu kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenlik alanını kullanmaya devam eder.

Deneme sırasında dağıtıma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşim kurdukları tüm kullanıcılar mesajlara ve içeriğe erişimlerini kaybedecektir. Kullanıcılar, Webex Uygulamasında “Bu mesajın şifresi çözülemez” ifadesini görecektir.

Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerine yönelik kilit veri deposu yedeklemelerini ve ISO yapılandırma dosyasını başarıyla muhafaza edip etmediğinize bağlıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Bekleme Veri Merkezine Manuel Yük Devretme***

Aktif ve bekleme veri merkezlerinin veri tabanları birbirleriyle eşitlenir ve bu da yük devretme işlemini gerçekleştirmek için harcanan süreyi en aza indirecektir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kaydedildiğinden ancak trafiği işlemediğinden emin olan ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezinin düğümleri HDS yazılımının en son sürümüyle her zaman güncel kalır.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın

Gelişmiş Ayarlar sayfasında, düğümü pasif modda tutmak için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm kuruluşa kaydedilir ve buluta bağlanır, ancak hiçbir trafiği işlemez.


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun. Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Yapılandırmadan sonra passiveMode ISO dosyasında ve kaydetmeden ISO dosyasının başka bir kopyasını oluşturabilirsiniz passiveMode yapılandırıp güvenli bir konuma kaydedin. ISO dosyasının bu kopyası olmadan passiveMode yapılandırılmış, olağanüstü durum kurtarma sırasında hızlı yük devretme işlemine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.

Proxy Desteği

Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde proxy'yi Kurulum sonra sertifika yönetimi ve genel bağlantı durumunu kontrol etmek için düğümlerde bir platform yöneticisi arabirimi kullanabilirsiniz.

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Bu şemada Karma Veri Güvenliği, ağ ve proxy arasındaki örnek bir bağlantı gösterilmektedir. Şeffaf inceleme ve HTTPS'nin açık inceleme proxy seçenekleri için proxy ve Karma Veri Güvenliği düğümlerine aynı kök sertifikasının yüklenmesi gerekir.

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Dahili istemciler için harici DNS çözümlemesine izin vermeyen açık proxy yapılandırmalarına sahip dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantı testleri devam edebilir.

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz Docker Desktop için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog gönderisine bakın, " Docker, Ürün Aboneliklerimizi Güncelliyor ve Genişletiyor ".

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

KMS yazılımı, anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamalarını zorunlu kılmaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi genişletilmiş anahtar kullanım kısıtlamalarının her bir sertifikaya uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak uygundur.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın	Microsoft SQL Server'ın
Postgres JDBC sürücüsü 42.2.5	SQL Server JDBC sürücüsü 4.6 Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki keystore veritabanınıza erişim sağlamak için Windows kimlik doğrulaması kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünür olmamalıdır. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

HTTPS trafiğini denetleyen mürekkep balığı proxy'leri, websocket kurulmasına müdahale edebilir (wss:) bağlantılar. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Webex kuruluşunuzun Cisco Webex Control Hub için Pro Pack’te etkinleştirildiğinden emin olun ve kuruluşun tam yönetici haklarına sahip bir hesabın kimlik bilgilerini alın. Bu süreçle ilgili yardım için Cisco iş ortağınıza veya hesap yöneticinize başvurun.

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri elde eder. Sertifika zincirinin, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşılaması gerekir.

Kümenizdeki Karma Veri Güvenliği düğümleri olarak ayarlayacağınız aynı sanal toplantı sahiplerini hazırlayın. Sanal Toplantı Sahibi Gereksinimlerindeki gereksinimleri karşılayan aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir) gerekir.

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev yapacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun güvenli veri merkezinde sanal toplantı sahipleri ile birlikte ortak olması gerekir.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Hızlı felaket kurtarma için farklı bir veri merkezinde bir yedekleme ortamı oluşturun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

Kümedeki düğümlerden günlükleri toplamak için bir sistem günlüğü toplantı sahibi ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür.).

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için en azından, Karma Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelemesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığından, operasyonel bir dağıtımın sürdürülememesi, içeriğin KURTARILAMAZ KAYIPINA neden olacaktır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanı ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

Docker'ı ( https://www.docker.com), desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080.

Docker örneğini, tüm Karma Veri Güvenliği düğümlerinin yerel yapılandırma bilgilerini derleyen HDS Kurulum Aracı’nı indirip çalıştırmak için kullanabilirsiniz. Kuruluşunuzun Docker Masaüstü lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de adı verilen bir grup oluşturun HdsTrialGroup ve pilot kullanıcıları ekleyin. Deneme grubunda en fazla 250 kullanıcı olabilir. Dosya HdsTrialGroup Kuruluşunuz için bir deneme başlatmadan önce nesnenin buluta senkronize edilmesi gerekir. Bir grup nesnesini senkronize etmek için Dizin Bağlayıcı'nın içinde seçin Yapılandırma > Nesne Seçimi menüsü. (Ayrıntılı talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzu'na bakın.)

Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Pilot kullanıcıları seçerken, Karma Veri Güvenliği dağıtımını kalıcı olarak devre dışı bırakmaya karar verirseniz tüm kullanıcıların pilot kullanıcılar tarafından oluşturulan alanlardaki içeriğe erişimini kaybettiğini unutmayın. Kullanıcıların uygulamaları, içeriğin önbelleğe alınmış kopyalarını yenilediğinde kayıp görünür hale gelir.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Kart devre dışıysa veya kart görmüyorsanız hesap ekibinizle veya iş ortağı kuruluşunuzla iletişime geçin. Onlara hesap numaranızı verin ve kuruluşunuzun Karma Veri Güvenliği için etkinleştirilmesini isteyin. Hesap numarasını bulmak için kuruluş adınızın yanındaki sağ üst köşedeki dişli simgesine tıklayın.

OVA'yı istediğiniz zaman Ayarlar sayfasındaki Yardım bölümünden de indirebilirsiniz. Karma Veri Güvenliği kartında sayfayı açmak için Ayarları düzenle öğesine tıklayın. Ardından Yardım bölümündeki Karma Veri Güvenliği yazılımını indir'e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara neden olabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için o makinede Docker'ı çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.

HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:

docker login -u hdscustomersro

Parola isteminde şu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Istendiğinde, Control Hub müşteri yöneticisi oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişime izin vermek için Oturum Aç seçeneğine tıklayın.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusu bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.

TLS gerektir ve sertifika imzalayanı doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

TLS gerektir ve sertifika imzalayanı ve ana bilgisayar adını doğrula

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmelidir, yoksa düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç ayrıca sertifika imzalayanı ve varsa ana bilgisayar adını da doğrular. Bir test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı yok saymayı ve kuruluma devam etmeyi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.)

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar bölümünden değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek parametredir:

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

Hizmet hesabı parolalarının dokuz aylık kullanım ömrü vardır. Parolalarınızın süresi dolmak üzereyken veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Yedek kopyayı güvende tutun. Bu dosya veritabanı içeriği için ana şifreleme anahtarı içeriyor. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için bu düğüme ihtiyacınız vardır. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Bir isim ve klasör seçin sayfa, bir girin Sanal makine adı düğüm için (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

Tercih edilirse, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Düğüm kapsayıcıları ortaya çıkmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk önyükleme sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görünür.

Karma Veri Güvenliği VM'sini Ayarlama

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. Konsolu, OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için de kullanabilirsiniz.

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı elinde tuttuğu için, Karma Veri Güvenliği sanal makinelerine ve değişiklik yapması gerekebilecek tüm yöneticilere erişim için yalnızca "bilme ihtiyacı" temelinde açıklanması gerekir. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerekirse, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını ayırabilirsiniz. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Ağ ortamı bir proxy gerektiriyorsa Karma Veri Güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Şeffaf bir inceleme proxy veya açık bir HTTPS proxy'si seçerseniz, kök sertifikayı yüklemek ve yüklemek için düğümün arabirimini kullanabilirsiniz. Ayrıca, proxy bağlantısını arabirimden kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Kümenize ek düğümler eklemek için ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve düğümü kaydetmeniz yeterlidir. En az 3 düğüme sahip olmanızı öneririz.

Şu anda, Karma Veri Güvenliği için Ön Koşulları Tamamla bölümünde oluşturduğunuz yedek sanal makineler, yalnızca olağanüstü durum kurtarma durumunda kullanılan bekleme ana bilgisayarlarıdır; bu ana kadar sisteme kaydedilmezler. Ayrıntılar için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Bir Karma Veri Güvenliği kümesi ayarladıktan sonra, bir pilot başlatabilir, ona kullanıcı ekleyebilir ve üretime geçmeye hazırlık olarak dağıtımınızı test etmek ve doğrulamak için kullanmaya başlayabilirsiniz.

Başlamadan önce

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, HdsTrialGroup kuruluşunuz için bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Verilen bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Webex Uygulamasında pilot kullanıcılardan biri olarak oturum açın ve ardından bir alan oluşturun ve en az bir pilot ve pilot olmayan kullanıcı davet edin.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız pilot kullanıcıların oluşturduğu alanlardaki içeriğe şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra erişilemez.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için, şuraya filtreleyin: kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

Control Hub'daki durum göstergesi, Karma Veri Güvenliği dağıtımında her şeyin iyi olup olmadığını gösterir. Daha proaktif uyarı almak için e-posta bildirimlerine kaydolun. Hizmeti etkileyen alarmlar veya yazılım yükseltmeleri olduğunda bildirim alırsınız.

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

Bir kullanıcıyı deneme sürümünden çıkarırsanız kullanıcının istemcisi KMS’niz yerine bulut KMS’sinden anahtarlar ve anahtar oluşturma isteyecektir. Istemcinin KMS'nizde depolanan bir anahtara ihtiyacı varsa bulut KMS bunu kullanıcı adına getirir.

Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi (bu prosedür yerine) kullanın HdsTrialGroup; Grup üyelerini Control Hub'da görüntüleyebilirsiniz ancak bunları ekleyemez veya kaldıramazsınız.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet .

Deneme Sürümünden Üretime Geçiş

Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnun olduğunuzda, üretime geçebilirsiniz. Üretime geçtiğinizde, kuruluştaki tüm kullanıcılar şifreleme anahtarları ve diğer güvenlik alanı hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanacaktır. Hizmeti, olağanüstü durum kurtarmanın bir parçası olarak devre dışı bırakmadığınız sürece üretimden deneme moduna geri dönemezsiniz. Hizmeti yeniden etkinleştirmek için yeni bir deneme oluşturmanız gerekir.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme sürümünüz sırasında Karma Veri Güvenliği dağıtımınıza devam etmemeye karar verirseniz Karma Veri Güvenliğini devre dışı bırakabilirsiniz. Bu durum deneme sürümünü sonlandırır ve deneme kullanıcılarını bulut veri güvenliği hizmetlerine geri taşır. Deneme kullanıcıları, deneme sırasında şifrelenmiş verilere erişimini kaybedecektir.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlamak için küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, kümeyi planlanan yükseltme zamanından önce manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı ayarlayabilir veya varsayılan planı Günlük Amerika Birleşik Devletleri saat 3:00'ü kullanabilirsiniz: Amerika/Los Angeles Gerekirse yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Zaman zaman, Hibrit Veri Güvenliği düğümünüzün yapılandırmasını aşağıdaki gibi bir nedenle değiştirmeniz gerekebilir:

X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.

Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.

PostgreSQL'den Microsoft SQL Server'a veya tam tersi şekilde veri taşınmasını desteklemiyoruz. Veritabanı ortamını değiştirmek için yeni bir Karma Veri Güvenliği dağıtımını başlatın.

Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.

Güvenlik amacıyla Karma Veri Güvenliği, 9 aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Yapılandırma aracı oluşturur ve bu parolaları ISO yapılandırma dosyasının bir parçası olarak HDS düğümlerinizin her birine dağıtırsınız. Şirketinizin parolalarının geçerlilik süresi sona ermeye yaklaştığında, Webex ekibinden makinenizin hesabının parolasını sıfırlamanızı isteyen bir “Parola Geçerlilik Süresi Sona Erme Bildirimi” alırsınız. (E-posta, "Parolayı güncellemek için makine hesabı API kullanın" metnini içerir.) Parolalarınızın süresi henüz dolmadıysa, araç size iki seçenek sunar:

Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

HDS Kurulum aracı ortamınızda bir proxy arkasında çalışıyorsa, Docker kapsayıcısını 1.e olarak getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo bazı olası ortam değişkenlerini verir:

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Sizden istendiğinde müşteri oturum açma bilgilerini girin ve ardından Kabul düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenmiş dosyayı indirmek için istemleri izleyin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

Yalnızca bir HDS düğümü çalışıyorsa yeni bir VM düğümü oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha Fazla Düğüm Oluşturma ve Kaydetme.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Eski yapılandırma dosyası çalıştıran mevcut HDS düğümleri için ISO dosyasını bağlayın. Bir sonraki düğümü kapatmadan önce her bir düğümü güncelleyerek sırayla her düğümde aşağıdaki prosedürü gerçekleştirin:

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1 CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramasını ve Cisco Webex bulutuna bağlantıyı test eder. Düğümün DNS sunucusu genel DNS adlarını çözümleyemezse düğüm otomatik olarak Engellenmiş Harici DNS Çözümleme moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet .
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluştaki Karma Veri Güvenliğine atanan her bir kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyelerine geri almaya yetkili herhangi bir kullanıcıya geri döndürmekten de sorumludur.

Küme, bu anahtarları sağlamak için kritik işlevi gerçekleştirdiği için, kümenin çalışır durumda kalması ve uygun yedeklemelerin korunması zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriğinin KURTARILAMAYAN KAYIPLARINA neden olacaktır. Böyle bir kaybı önlemek için aşağıdaki uygulamalar zorunludur:

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın

Gelişmiş Ayarlar sayfasında, aşağıdaki yapılandırmayı ekleyin veya passiveMode düğümü aktif hale getirmek için yapılandırılır. Bu, yapılandırıldıktan sonra düğüm trafiği işleyebilir.


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Bekleme veri merkezinin düğümlerinin pasif modda olmadığını doğrulamak için sistem günlüğü çıktısını kontrol edin. “Pasif modda yapılandırılmış KMS” sistem günlüklerinde görünmemelidir.

Sonraki işlemler

Yük devretmeden sonra birincil veri merkezi tekrar aktif hale gelirse, Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu'nda açıklanan adımları izleyerek bekleme veri merkezini tekrar pasif moda yerleştirin.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Standart HDS yapılandırması, ISO montajlı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte halde bırakmamayı tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasını ayırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO güncellediğinizde, güncellenmiş ISO’yu tüm HDS düğümlerinize monte etmeniz gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Kümedeki tüm düğümler ulaşılamıyorsa veya küme zaman aşımı talep edecek kadar yavaş çalışıyorsa, Karma Veri Güvenliği dağıtımının kullanılamadığı düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamazsa aşağıdaki belirtilerle karşılaşırlar:

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumuyla ilgili bir sorun varsa Control Hub kuruluş yöneticisine yönelik uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposu.
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021

30 Nisan 2021 Cuma

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

11 Ocak 2021 Çarşamba

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy Desteği

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:

docker login -u hdscustomersro

Parola isteminde şu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusu bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.

TLS gerektir ve sertifika imzalayanı doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

TLS gerektir ve sertifika imzalayanı ve ana bilgisayar adını doğrula

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmelidir, yoksa düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet .

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Zaman zaman, Hibrit Veri Güvenliği düğümünüzün yapılandırmasını aşağıdaki gibi bir nedenle değiştirmeniz gerekebilir:

X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.

Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.

Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.

Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Sizden istendiğinde müşteri oturum açma bilgilerini girin ve ardından Kabul düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenmiş dosyayı indirmek için istemleri izleyin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1 CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet .
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin `hdsnode.pem`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -in hdsnode.pem`
3	Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın `hdsnode-bundle.pem`. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	.p12 dosyasını uygun adla oluşturun `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -in hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `friendlyName: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Sonraki işlemler

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma

Websocket, Squid Proxy Ile Bağlanamıyor

Mürekkep balığı 4 ve 5

Dosyayı on_unsupported_protocol yönergesi squid.conf:

on_unsupported_protocol tunnel all

Mürekkep balığı 3.5.27

Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposu.
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021

30 Nisan 2021 Cuma

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

11 Ocak 2021 Çarşamba

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy Desteği

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:

docker login -u hdscustomersro

Parola isteminde şu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusu bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.

TLS gerektir ve sertifika imzalayanı doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

TLS gerektir ve sertifika imzalayanı ve ana bilgisayar adını doğrula

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmelidir, yoksa düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet .

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Zaman zaman, Hibrit Veri Güvenliği düğümünüzün yapılandırmasını aşağıdaki gibi bir nedenle değiştirmeniz gerekebilir:

X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.

Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.

Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.

Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Sizden istendiğinde müşteri oturum açma bilgilerini girin ve ardından Kabul düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenmiş dosyayı indirmek için istemleri izleyin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1 CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet .
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin `hdsnode.pem`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -in hdsnode.pem`
3	Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın `hdsnode-bundle.pem`. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	.p12 dosyasını uygun adla oluşturun `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -in hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `friendlyName: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Sonraki işlemler

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma

Websocket, Squid Proxy Ile Bağlanamıyor

Mürekkep balığı 4 ve 5

Dosyayı on_unsupported_protocol yönergesi squid.conf:

on_unsupported_protocol tunnel all

Mürekkep balığı 3.5.27

Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposu.
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021

30 Nisan 2021 Cuma

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

11 Ocak 2021 Çarşamba

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy Desteği

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:

docker login -u hdscustomersro

Parola isteminde şu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusu bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.

TLS gerektir ve sertifika imzalayanı doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

TLS gerektir ve sertifika imzalayanı ve ana bilgisayar adını doğrula

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmelidir, yoksa düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet .

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Zaman zaman, Hibrit Veri Güvenliği düğümünüzün yapılandırmasını aşağıdaki gibi bir nedenle değiştirmeniz gerekebilir:

X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.

Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.

Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.

Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Sizden istendiğinde müşteri oturum açma bilgilerini girin ve ardından Kabul düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenmiş dosyayı indirmek için istemleri izleyin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1 CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet .
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin `hdsnode.pem`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -in hdsnode.pem`
3	Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın `hdsnode-bundle.pem`. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	.p12 dosyasını uygun adla oluşturun `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -in hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `friendlyName: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Sonraki işlemler

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma

Websocket, Squid Proxy Ile Bağlanamıyor

Mürekkep balığı 4 ve 5

Dosyayı on_unsupported_protocol yönergesi squid.conf:

on_unsupported_protocol tunnel all

Mürekkep balığı 3.5.27

Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposu.
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021

30 Nisan 2021 Cuma

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

11 Ocak 2021 Çarşamba

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy Desteği

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini denetleyen proxy'ler, web soket bağlantılarına müdahale edebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:

docker login -u hdscustomersro

Parola isteminde şu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusu bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.

TLS gerektir ve sertifika imzalayanı doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

TLS gerektir ve sertifika imzalayanı ve ana bilgisayar adını doğrula

HDS düğümleri, yalnızca veritabanı sunucusu TLS üzerinde anlaşabiliyorsa bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezlerse, düğüm bağlantıyı keser.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmelidir, yoksa düğüm bağlantıyı keser.

kullanın Veritabanı kök sertifika Bu seçeneğin kök sertifika yüklemek için açılır menünün altındaki kontrole dokunun.

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. sonra tıklayın Kaydet .

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Zaman zaman, Hibrit Veri Güvenliği düğümünüzün yapılandırmasını aşağıdaki gibi bir nedenle değiştirmeniz gerekebilir:

X.509 sertifikalarının süresinin dolması veya başka nedenlerle değiştirilmesi.

Bir sertifikanın CN etki alanı adı değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncelleme.

Yeni bir veri merkezi hazırlamak için yeni bir konfigürasyon oluşturma.

Yumuşak sıfırlama —Eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını aşamalı olarak değiştirmek için bu süreyi kullanın.
Sert sıfırlama —Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan sona ererse, HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının anında donanımdan sıfırlanmasını ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulama olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulama olmadan HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasında yapılan değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaptığınızda ISO ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı görüntülerini temizler. Önceki resim yoksa, görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum aç için aşağıdakini girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy içermeyen FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si olan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışırken, "Express sunucusu 8080 numaralı bağlantı noktasında dinleme yapıyor" ifadesini görürsünüz.

Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Sizden istendiğinde müşteri oturum açma bilgilerini girin ve ardından Kabul düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenmiş dosyayı indirmek için istemleri izleyin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1 CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS Çözümlemesi olarak ayarlandı evet .
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin `hdsnode.pem`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -in hdsnode.pem`
3	Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın `hdsnode-bundle.pem`. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	.p12 dosyasını uygun adla oluşturun `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -in hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `friendlyName: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Sonraki işlemler

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma

Websocket, Squid Proxy Ile Bağlanamıyor

Mürekkep balığı 4 ve 5

Dosyayı on_unsupported_protocol yönergesi squid.conf:

on_unsupported_protocol tunnel all

Mürekkep balığı 3.5.27

Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposunda barındırılır .
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021 Cuma

30 Nisan 2021

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayır.

11 Ocak 2021 Çarşamba

HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

08 Ekim 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

05 Ağustos 2020

Günlük mesajlarındaki değişiklikler için Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

04 Haziran 2020

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020

HDS Ana Bilgisayarları için TLS'yi SQL Server veritabanlarıyla, UI değişiklikleriyle ve diğer açıklamalar ile de kullanabileceğinizi gösterecek bir Yapılandırma ISO'su Oluşturma güncellendi.

05 Mayıs 2020

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy entegrasyonu için HDS düğümünü yapılandırın
Engellenmiş harici DNS çözünürlük modunu kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

10 Eylül 2015 Tarihinde

29 Ağustos 2019 Karma Veri Güvenliği eki için Squid Proxy’lerini düzgün çalışma için websocket trafiğini yok saymak üzere yapılandırmaya ilişkin kılavuz ile Squid proxy’lerini Yapılandırma eklendi.

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy desteği
Proxy sunucusu gereksinimleri
Proxy entegrasyonu için HDS düğümünü yapılandırın

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

13 Haziran 2019 Salı Kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce HdsTrialGroup grup nesnesini senkronize etmek için bir hatırlatıcıyla Deneme Üretim Görevi Akışına güncellendi.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşimde bulunan Webex Uygulaması istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için bir anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için), KMS anahtarı istemciye ECDH güvenli kanalı üzerinden gönderir. Ancak, başka bir kuruluş alanın anahtarına sahip olduğunda, KMS'niz anahtarı uygun KMS'den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza getirir.

Kuruluş A üzerinde çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanılacak x.509 sertifikası oluşturma hakkındaki ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı ikidir. En az üç öneririz ve en fazla beş tane alabilirsiniz. Birden fazla düğüme sahip olmak, bir düğümdeki yazılım yükseltmesi veya diğer bakım faaliyetleri sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu, aynı anda yalnızca bir düğümü yükseltir.)

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşıyabilirsiniz. Pilot kullanıcıları, deneme sırasında kullanılan anahtarlara erişmeye devam eder. Ancak, üretim modu ile orijinal deneme arasında ileri ve geri hareket edemezsiniz. Olağanüstü durum kurtarma gerçekleştirmek gibi hizmeti devre dışı bırakmanız gerekiyorsa, yeniden etkinleştirdiğinizde üretim moduna geri geçmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme sürümü için pilot kullanıcıları grubunu kurmanız gerekir. Kullanıcıların bu noktada verilere erişimini sürdürmesi, kümenizdeki Karma Veri Güvenliği düğümlerinin ISO yapılandırma dosyasının yedeklemelerini başarıyla sürdürüp sürdürmediğinize bağlıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Yük devretmeden önce, Veri Merkezi A etkin HDS düğümlerine ve birincil PostgreSQL veya Microsoft SQL Server veritabanına sahipken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makineler ve bekleme veritabanına sahip ISO dosyasının bir kopyası vardır. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A'da kayıtlı olmayan sanal makineler ve ISO dosyasının bir kopyası bulunur ve veritabanı bekleme modundadır. — ***Bekleme Veri Merkezine Manuel Yük Devretme***

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. (Bu yük devretme modeline genel bir bakış için bkz. Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi .)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın

 pasif kip: 'doğru'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra geçerli olabilmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

ISO dosyasında passiveMode yapılandırıp kaydettikten sonra, passiveMode yapılandırması olmadan ISO dosyasının başka bir kopyasını oluşturabilir ve güvenli bir konuma kaydedebilirsiniz. PassiveMode yapılandırılmamış ISO dosyasının bu kopyası, felaket kurtarma sırasında hızlı yük devretme sürecine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezi’ni kullanarak Olağanüstü Durum Kurtarma.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekmiyor.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Hiçbiri—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.
  - Temel—Bir HTTP Kullanıcı Aracısı tarafından bir istek yaparken kullanıcı adı ve parola sağlamak üzere kullanılır. Base64 kodlamayı kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.
    
    Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.
  - Özet—Hassas bilgileri göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.
    
    Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.
    
    Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Organizasyonsanız Docker Masaüstü için ücretli bir abonelik gerekli olabilir. Ayrıntılar için " Docker Ürün Aboneliklerimizi Güncelleniyor ve Uzatıyor" docker blog gönderisini okuyun.

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinim	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad (örneğin, `hds.company.com`) kullanmanızı öneririz. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için uygun `kms-private-key` adını kullanın.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protocol	Port	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunun Webex Karma Hizmetleri için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Karma Veri Güvenliği düğümleri, NAT veya güvenlik duvarı, yukarıdaki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda internet üzerinden hiçbir bağlantı noktası görünmemelidir. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy sunucusu gereksinimleri

Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Saydam proxy — Cisco web güvenliği uygulaması (WSA).

Açık proxy — SQUID.

HTTPS trafiğini denetleyen squid proxy'leri, websocket (wss:) bağlantılarının kurulmasına müdahale edebilir. Bu sorunu gidermek için bkz. Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma.

Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulaması yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile Özet kimlik doğrulaması
Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.
HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.
Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve X.509 sertifikası, özel anahtar ve tüm ara sertifikaları içeren bir sertifika zinciri alın. Sertifika zincirinin, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşılaması gerekir.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır; bu nedenle bir kesinti hemen fark edilmeyebilir ancak zamanla belirginleşebilir. Geçici kesintileri önlemek imkansız olmakla birlikte, kurtarılabilir. Bununla birlikte, veritabanının veya yapılandırma ISO dosyasının tam kaybı (yedeklemesi yok) kurtarılamayan müşteri verilerine yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin, veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini koruması ve felaket bir hata oluşması durumunda Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

Desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker ( https://www.docker.com) yükleyin. http://127.0.0.1:8080.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de HdsTrialGroup adlı bir grup oluşturun ve pilot kullanıcıları ekleyin. Deneme grubunda en fazla 250 kullanıcı olabilir. HdsTrialGroup nesnesi, kuruluşunuz için bir deneme başlatmadan önce buluta eşitlenmelidir. Bir grup nesnesini senkronize etmek için Dizin Bağlayıcının Yapılandırma > Nesne Seçimi menüsünde seçin. (Ayrıntılı talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.)

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

Proxy entegrasyonu için HDS düğümünü yapılandırın

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Çalıştırma ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler'e tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, organizasyonunız için tam yönetici hakları olan bir Control Hub hesabının kimlik bilgilerini gerektirir.

Açıklama	Değişken
Kimlik doğrulaması olmadan HTTP Proxy	`GLOBAL_ARACI_HTTP_PROXY=http://SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulamadan HTTPS Proxy	`KÜRESEL_ARACI_HTTPS_PROXY=http://SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulaması ile HTTP Proxy	`GLOBAL_ARACI_HTTP_PROXY=http://KULLANICI ADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulama ile HTTPS Proxy	`GLOBAL_ARACI_HTTPS_PROXY=http://KULLANICI ADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-kurulum: kararlı

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp: kararlı

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker giriş -u hdscustomersro

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-kurulum: kararlı

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp: kararlı

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker çalıştır -p 8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy olmadan FedRAMP ortamlarında:

docker çalıştır -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel http://127.0.0.1:8080 toplantı sahibine bağlanmak için kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Zaten HDS düğümleri oluşturduysanız, taramada ISO dosyanızı seçin ve yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır 'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu ) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Username (Kullanıcı Adı) alanında username@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.
Veritabanı sunucusu adresini : veya : biçiminde girin.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulama kullanıyorsanız, dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS'yi tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.)

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açıldığını gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL girdiğinizden emin olun.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et'e tıklayın.

app_datasource_connection_pool_maxBoyut: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve Ileri'ye tıklayın.

Bir ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, "HDS_Node_1"), sanal makine düğümü dağıtımının yerleşebileceği bir konum seçin ve ardından Ileri'ye tıklayın.

Bir kaynağı hesapla sayfası seçin, hedefin kaynak hesaplama kaynağını seçin ve Ileri düğmesine tıklayın.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse, 4 CPU ve ardından Ileri düğmesine tıklayın.

Depolama alanını seç sayfasında, varsayılan disk biçimini ve sanal makine depolama politikasını kabul etmek için Ileri 'ye tıklayın.

Ağları seç sayfasında, sanal makineye istenen bağlantıyı sağlamak üzere giriş listesinden ağ seçeneğini belirleyin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM düğümüne sağ tıklayın ve ardından Güç > Güç Açık seçeneğini seçin.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `Yönetici` Parola: `Cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırma Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
CD/DVD Drive 1 öğesine tıklayın, bir veri mağazası ISO dosyasından yükleme seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy sunucusu gereksinimleri

1	Bir Web tarayıcısına HDS düğüm kurulum URL 'sini `https://[HDS düğüm IP veya FQDN]/kurulum girin` , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.
2	Güven deposu & proxine gidinve bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor. Şeffaf Denetlenmeyen Vekil Sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor. Şeffaf Denetim Vekil Sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Hiçbiri—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy 'leri için kullanılabilir. Temel—Bir HTTP Kullanıcı Aracısı tarafından bir istek yaparken kullanıcı adı ve parola sağlamak üzere kullanılır. Base64 kodlamayı kullanır. HTTP veya HTTPS proxy 'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular. Yalnızca HTTPS proxy 'ler için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir. Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.
3	Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin. Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.
4	Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın. Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz. Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.
6	Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın . Düğüm birkaç dakika içinde yeniden başlar.
7	Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın. Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet 'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinde ekranın sol tarafındaki menüden Hizmetler 'i seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Çalıştırma ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

1	Uygulanabiliyorsa, `HdsTrialGroup` grup nesnesini senkronize edin. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce buluta senkronizasyon için `HdsTrialGroup` grup nesnesini seçmeniz gerekir. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, kuruluşunuz için bir deneme başlatmadan önce buluta senkronizasyon için HdsTrialGroup grup nesnesini seçmeniz gerekir. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle 'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu, `HdsTrialGroup`'u yönetmek için Active Directory'yi kullanın.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION üzerine filtreleyin:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheÇocuk: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcının olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY üzerine filtreleyin:

Şunun gibi bir giriş bulmanız gerekir:

2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheÇocuk: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION filtreleyin:

Şunun gibi bir giriş bulmanız gerekir:

2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheÇocuk: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesinin (KRO) oluşturulmasını isteyen bir kullanıcının kontrol etmek için, kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION üzerine filtreleyin:

Şunun gibi bir giriş bulmanız gerekir:

2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheÇocuk: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu, HdsTrialGroup'u yönetmek için Active Directory'yi (bu prosedür yerine) kullanın; grup üyelerini Control Hub'da görüntüleyebilir ancak ekleyemez veya kaldıramazsınız.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle 'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. Ardından Kaydet'e tıklayın.

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlamak için küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, kümeyi planlanan yükseltme zamanından önce manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı ayarlayabilir veya varsayılan planı Günlük Amerika Birleşik Devletleri saat 3:00'ü kullanabilirsiniz: Amerika/Los Angeles. Gerekirse yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

Yumuşak sıfırlama—Her ikisi de eski ve yeni şifreler 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.
Sabit sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulaması olmadan HTTP Proxy	`GLOBAL_ARACI_HTTP_PROXY=http://SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulamadan HTTPS Proxy	`KÜRESEL_ARACI_HTTPS_PROXY=http://SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulaması ile HTTP Proxy	`GLOBAL_ARACI_HTTP_PROXY=http://KULLANICI ADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI`
Kimlik doğrulama ile HTTPS Proxy	`GLOBAL_ARACI_HTTPS_PROXY=http://KULLANICI ADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-kurulum: kararlı
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp: kararlı
```
Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.
Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:
```
docker giriş -u hdscustomersro
```
Parola isteminde bu karma değeri girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-kurulum: kararlı

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp: kararlı

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmayan normal ortamlarda:

docker çalıştır -p 8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy'ye sahip normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy olmadan FedRAMP ortamlarında:

docker çalıştır -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP proxy'si ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS proxy'si ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel http://127.0.0.1:8080 toplantı sahibine bağlanmak için kullanın.

Istendiğinde, Control Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

Yalnızca bir HDS düğümünüz varsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha Fazla Düğüm Oluşturma ve Kaydetme.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'dakaydettirin.

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, düğüm için ayarladığınız yönetici kimlik bilgilerini https://192.0.2.0/setup), girin ve ardından Oturum Aç’a tıklayın.
2	Genel bakışa gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .
3	Güven deposu & proxy sayfasına gidin.
4	Proxy bağlantısını kontrol et 'e tıklayın. Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
Eylemler > Kaydı sil düğümüne tıklayın.

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil öğesine tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın

Gelişmiş Ayarlar sayfasında, düğümü aktif hale getirmek için aşağıdaki yapılandırmayı ekleyin veya passiveMode yapılandırmasını kaldırın. Bu, yapılandırıldıktan sonra düğüm trafiği işleyebilir.

 pasif kip: 'yanlış'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenmiş ISO'yu tüm HDS düğümlerinize monte etmeniz gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	Ayarları Düzenle > CD/DVD sürücüsünü seçin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	Eylem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracında yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler https://www.openssl.org için bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda hdsnode.pem olarak `kaydedin`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -hdsnode.pem`
3	`hdsnode-bundle.pem` adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `----BEGIN CERTIFICATE----- ### Sunucu sertifikası. ### ------END CERTIFICATE----------BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### ------END CERTIFICATE-------BEGIN CERTIFICATE----- ### Kök CA sertifikası. ### ------END CERTIFICATE-----`
4	.p12 dosyasını uygun `kms-private-key` adıyla oluşturun. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -içinde hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `dostAdı: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC doğrulanmış OK Bag Öznitelikleri friendlyName: kms- private- key localKeyKimliği: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler: PEM geçiş ifadesini girin: Doğrulanıyor - PEM geçiş ifadesini girin: -----BEGIN ŞIFRELI ÖZEL ANAHTAR----- -----END ŞIFRELI ÖZEL ANAHTAR----- Bag Attributes friendlyName: kms- private- key localKeyKimliği: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Şifreleyelim/CN=Şifreleyelim Yetkisini Şifreleyelim X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----end certificate------

Sonraki işlemler

Karma Veri Güvenliği Ön Koşullarını Tamamlama’ya dönün. HDS Ana Bilgisayarları için Yapılandırma ISO Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği websocket (wss:) bağlantılarının kurulmasını engelleyebilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocolsquid.conf dosyasına yönergeyi ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih

Değişiklikler Yapıldı

20 Ekim 2023 Salı

Veritabanı sunucusu gereksinimlerindeki bilgiler güncellendi.
Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma ve Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ndeki bilgiler güncellendi.

07 Ağustos 2023

Yükleme Dosyalarını Indir bölümüne bir not eklendi.
HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.

23 Mayıs 2023

Hesap ekibiyle iletişime geçerek özelliğin etkinleştirilmesini isteyen Veritabanı sunucusu gereksinimlerinden silinmiş bilgiler.
Harici bağlantı gereksinimleriyle ilgili bilgiler güncellendi ve CI toplantı sahipleri tablosuna Kanada eklendi.
Anahtarları buluta geri taşımak için mekanizmaların kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Dağıtma Beklentileri kısmına bir not eklendi.

06 Aralık 2022

HDS Kurulum Aracı görüntüleri artık ciscocitg dockerhub deposu.
HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun ve komutlardaki değişiklikleri uygulamak için Düğüm Yapılandırması konularını Değiştirin.

23 Kasım 2022

HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir.

Bu kimlik doğrulama modu için ek gerekliliklerle Veritabanı sunucusu gereksinimleri konusu güncellendi.

Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürü ile HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
Veritabanı sunucusu gereksinimleri konusu, yeni minimum gerekli sürümler (PostgreSQL 10) ile güncellendi.

13 Ekim 2021 Çarşamba

HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.

24 Haziran 2021 Salı

30 Nisan 2021 Cuma

Yerel sabit disk alanı için VM gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .

24 Şubat 2021

HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma.

2 Şubat 2021

HDS artık bağlanmış bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe Bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma.

11 Ocak 2021 Çarşamba

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmak üzere HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.

13 Ekim 2020 Çarşamba

Veritabanı sunucusu gereksinimlerine SQL Server Standard eklendi.

8 Ekim 2020 Perşembe

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve FedRAMP ortamlarına yönelik komutlarla Düğüm Yapılandırmasını Değiştirme güncellendi.

14 Ağustos 2020

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma ve oturum açma işlemindeki değişikliklerle Düğüm Yapılandırmasını Değiştirme güncellendi.

5 Ağustos 2020 Çarşamba

Günlük mesajlarındaki değişiklikler için güncellenmiş Karma Veri Güvenliği Dağıtımınızı Test Edin.

Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.

16 Haziran 2020 Salı

Control Hub Kullanıcı Arayüzündeki değişiklikler için Bir Düğümü Kaldırma güncellendi.

4 Haziran 2020 Perşembe

Ayarlayabileceğiniz Gelişmiş Ayarlardaki değişiklikler için HDS Ana Bilgisayarları için Yapılandırma ISO'su oluşturma güncellendi.

29 Mayıs 2020 Cuma

5 Mayıs 2020 Salı

Yeni ESXi 6.5 gereksinimini gösterecek şekilde Sanal Toplantı Sahibi Gereksinimleri güncellendi.

21 Nisan 2020 Çarşamba

Yeni Americas CI ana bilgisayarlarıyla Harici bağlantı gereksinimleri güncellendi.

1 Nisan 2020

Harici bağlantı gereksinimleri bölgesel CI ana bilgisayarlarıyla ilgili bilgilerle güncellendi.

20 Şubat 2020 HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranıyla ilgili bilgileri içeren HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

4 Şubat 2020 Proxy Sunucusu Gereksinimleri Güncellendi.

16 Aralık 2019 Pazartesi Proxy Sunucusu Gereksinimlerinde Engellenmiş Harici DNS Çözünürlük Modu gereksinimi açıklığa kavuşturuldu.

19 Kasım 2019

Aşağıdaki bölümlere Engellenmiş Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi:

Proxy Desteği
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma
Engellenen Harici DNS Çözünürlük Modunu Kapat

8 Kasım 2019

Artık OVA yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz.

Aşağıdaki bölümler uygun olarak güncellendi:

Karma Veri Güvenliği Dağıtım Görev Akışı
HDS Ana Bilgisayar OVA’sını Yükleme
Karma Veri Güvenliği VM'sini Ayarlama

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

6 Eylül 2019

20 Ağustos 2019

Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi.

Proxy Desteği
Proxy Sunucusu Gereksinimleri
Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Mevcut bir dağıtımda yalnızca proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı için Proxy Desteği makalesine bakın.

6 Mart 2019 Çarşamba

Gereklilikleri ve ön koşulları ayrı bir bölüme taşıdı, Ortamınızı Hazırlama.
Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış, Karma Veri Güvenliği Kümesi Ayarlama bölümüne eklendi.

Bir deneme çalışmasına başlayana kadar (sonraki bölümdeki talimatları kullanarak) düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğuna dikkat edin.
Deneme Çalıştırma ve Üretime Taşı bölümünde Üretim Görev Akışına Deneme Sürümü eklendi.

28 Şubat 2019 Cuma

OVA'nın oluşturduğu diskin boyutunu yansıtmak için, Karma Veri Güvenliği düğümleri haline gelen sanal ana bilgisayarları hazırlarken, sunucu başına bırakmanız gereken yerel sabit disk alanı miktarı düzeltildi. 50 GB'tan 20 GB'ye kadar.

26 Şubat 2019 Salı

Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucuları ile şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. Talimatlarla HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.
"Karma Veri Güvenliği Düğümü VM'leri için Internet Bağlantısı Gereksinimleri" tablosundan hedef URL'ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri tablosunun "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda bulunan listeyi ifade etmektedir.

24 Ocak 2019

5 Kasım 2018

HDS Ana Bilgisayarları için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme seçeneklerine mevcut docker hds örneklerini temizlemek için bir ön adım eklenmiştir.
HDS Ana Bilgisayarlarının arayüzle eşleşebilmesi için Yapılandırma ISO'su Oluşturma'daki anahtar erişim düzeyi adımı güncellendi.

19 Ekim 2018 Çarşamba

Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.

31 Temmuz 2018

Karma Veri Güvenliği Ön Koşullarını Tamamlamak için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.

21 Mayıs 2018 Pazartesi

Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji:

Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olmuştur.
Cisco Spark uygulaması artık Webex Uygulaması uygulamasıdır.
Cisco Collaboraton Bulutu artık Webex bulutudur.

11 Nisan 2018 Çarşamba

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi.
Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek üzere Karma Veri Güvenliği Ön Koşullarını Tamamlayın güncellendi.
Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.

22 Şubat 2018

Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracını kullanma hakkında bilgiler HDS Toplantı Sahipleri için bir Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.

15 Şubat 2018

X.509 Sertifika Gereksinimleri tablosunda, sertifikanın joker karakter sertifikası olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan hiçbir etki alanını değil, CN etki alanını kullandığını belirtin.

18 Ocak 2018

HDS Düğümleri ile Bulut arasındaki ek, Trafik eklendi.
Karma Veri Güvenliği için Bilinen Sorunlar bölümünden çözülen bir sorun kaldırıldı.
index.docker.io, *.docker.io olarak değiştirildi ve *.cloudfront.net, Karma Veri Güvenliği Ön Koşullarını Tamamlama bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine eklendi.
Veritabanı ana bilgisayarı ve Syslogd sunucusu HDS düğümlerinden DNS çözümlenebilir değilse bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma güncellendi.

2 Kasım 2017

HdsTrialGroup için netleştirilmiş dizin senkronizasyonu.
VM düğümlerine bağlanmak üzere ISO yapılandırma dosyasını yükleme talimatları düzeltildi.

18 Ağustos 2017

Ilk yayımlanma

Karma Veri Güvenliğini Kullanmaya Başlayın

Karma Veri Güvenliğine Genel Bakış

Ilk günden itibaren veri güvenliği, Webex Uygulamasının tasarımında birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Anahtar Yönetim Hizmeti (KMS) ile etkileşimde bulunan Webex Uygulaması istemcileri tarafından etkinleştirilen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullandığı şifreleme anahtarlarını oluşturmaktan ve yönetmekten sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri, Cisco’nun güvenlik alanında bulut KMS’sinde depolanan dinamik anahtarlarla uçtan uca şifreleme yapar. Karma Veri Güvenliği, KMS’yi ve güvenlikle ilgili diğer işlevleri kurumsal veri merkezinize taşır ve böylece, şifrelenmiş içeriğinizin anahtarlarını sizden başka hiç kimse tutmaz.

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı alanlar veya güven etki alanlarına ayırır.

Istemci, anahtar yönetimi hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar talep eder. Güvenli bağlantı ECDH kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj istemciden ayrılmadan önce şifrelenir. Istemci bunu indeksleme hizmetine gönderir, bu da içeriğin ilerideki aramalarına yardımcı olmak için şifreli arama indeksleri oluşturur.
Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifrelenmiş mesaj depolama alanında depolanır.

Diğer Kuruluşlarla Iş Birliği Yapma

Karma Veri Güvenliğini Dağıtma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdü ve şifreleme anahtarlarına sahip olmanın getirdiği riskler hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

Cisco Webex Teams planları için desteklenen bir ülkede güvenli bir veri merkezi.
Ortamınızı Hazırlama bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Veritabanının ve ISO yapılandırmasının yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı disk hatası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı felaket kurtarma işlemi gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra tuşları Buluta geri taşımak için hiçbir mekanizma yoktur.

Yüksek Düzey Kurulum Süreci

Bu belge, Karma Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

Karma Veri Güvenliğini Ayarlama—Buna gerekli altyapının hazırlanması ve Karma Veri Güvenliği yazılımının yüklenmesi, dağıtımınızı deneme modunda bir kullanıcı alt kümesiyle test edilmesi ve testiniz tamamlandıktan sonra üretime geçilmesi dahildir. Bu, güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmak üzere tüm kuruluşu dönüştürür.
Kurulum, deneme ve üretim aşamaları sonraki üç bölümde ayrıntılı olarak ele alınmıştır.
Karma Veri Güvenliği dağıtımınızı muhafaza edin—Webex bulut otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız, bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın—Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Karma Veri Güvenliği Dağıtım Modeli

Düğümler, Control Hub'a kaydettiğinizde etkin hale gelir. Tek bir düğümü hizmet dışı bırakmak için, düğümün kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Her kuruluş için yalnızca tek bir küme destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında, güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı bekleme veri merkezine manuel olarak başarısız yapabilirsiniz.

Etkin Karma Veri Güvenliği düğümleri, her zaman etkin veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek bir PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedekleme ortamında 3 sanal makine bulunmalıdır. (Bu yük devretme modeline genel bakış için Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi'ne bakın.)
Aktif ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkin olduğundan emin olun.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'true'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “pasif modda yapılandırılmış KMS” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy Desteği

Karma Veri Güvenliği açık, şeffaf inceleme ve denetlenmeyen proxy'leri destekler. Kuruluştan buluta trafiği emniyete almak ve izlemek için bu proxy'leri dağıtımınıza bağlayabilirsiniz. Düğümlerde platform yöneticisi arabirimi kullanarak sertifika yönetimi ve proxy'yi düğümlerde ayarladıktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma Veri Güvenliği düğümleri aşağıdaki proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğümü kurulumu Trust Store & Proxy yapılandırmasını kullanmazsanız varsayılan değer. Sertifika güncellemesi gerekli değil.
Şeffaf denetlenmeyen vekil sunucu—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil.
Şeffaf tünel açma veya vekil sunucu denetimi—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekli değildir. Bununla birlikte, düğümlerin proxy'ye güvenmeleri için bir kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile).
Açık proxy—Açık proxy ile, HDS düğümlerine hangi proxy sunucusunun ve kimlik doğrulama düzeninin kullanılacağını söylersiniz. Açık bir proxy yapılandırmak için her düğüm için aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.
2. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası.
3. Proxy Protokolü—Proxy sunucunuzun neyi desteklediğine bağlı olarak, aşağıdaki protokoller arasında seçim yapın:
  - HTTP—Istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS—Sunucuya bir kanal sağlar. Istemci, sunucu sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka kimlik doğrulaması gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
  - Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.
  - Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular.
    
    Yalnızca proxy protokolü olarak HTTPS'yi seçerseniz kullanılabilir.
    
    Her düğüme kullanıcı adı ve parola girmenizi gerektirir.

Karma Veri Güvenliği Düğümleri ve Proxy Örneği

Engellenmiş Harici DNS Çözünürlük Modu (Açık Proxy Yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi yüklemeden önce, bir kurulum programını çalıştırmak için Docker Desktop gerekir. Docker kısa süre önce lisans modelini güncelledi. Kuruluşunuz için Docker Masaüstü için ücretli bir abonelik gerektirebilir. Ayrıntılar için Docker blog yazısına bakın: "Docker Ürün Aboneliklerimizi Güncelliyor ve Uzatıyor".

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Gereksinimi	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmış	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresinde Mozilla listesindeki (WoSign ve StartCom hariç) sertifika yetkililerine güveniyoruz.
Karma Veri Güvenliği dağıtımınızı tanımlayan bir Ortak Ad (CN) etki alanı adını taşır. Joker karakter sertifikası değil	CN'nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, * (joker karakter) içermemelidir. CN, Karma Veri Güvenliği düğümlerini Webex Uygulaması istemcilerinde doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS’niz, x.509v3 SAN alanlarında tanımlanan hiçbir etki alanı değil, CN etki alanını kullanarak kendini tanımlar. Bu sertifikayla bir düğüm kaydettikten sonra CN etki alanı adının değiştirilmesini desteklemeyiz. Hem deneme hem de üretim dağıtımları için geçerli olabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'lerine bağlantı doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Kullanıcı adını kullan `kms-private-key` sertifikayı, özel anahtarı ve yüklenecek tüm ara sertifikaları etiketlemek için.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırdığınızda parolayı girmeniz gerekir.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahipleri aşağıdaki gereksinimlere sahiptir:

Aynı güvenli veri merkezinde en az iki ayrı toplantı sahibi (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklü ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltme yapmanız gerekir.
Minimum 4 vCPU, 8 GB ana bellek, sunucu başına 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluştur. Varsayılan veritabanını kullanma. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL'ın

Microsoft SQL Server'ın

PostgreSQL 14, 15 veya 16, yüklü ve çalışıyor.

SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki bir sürümü gerektirir.

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

PostgreSQL'ın

Microsoft SQL Server'ın

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin, Active Directory altyapısının ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimi olmalıdır.
HDS düğümlerine sağladığınız DNS sunucularının, Anahtar Dağıtım Merkezinizi (KDC) çözmesi gerekir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory'de Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adını Kaydetme.

HDS kurulum aracı, HDS başlatıcısı ve yerel KMS, anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanmalıdır. Kerberos kimlik doğrulamasına erişim isterken SPN'yi oluşturmak için ISO yapılandırmanızdan ayrıntıları kullanır.

Harici bağlantı gereklilikleri

HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde güvenlik duvarınızı yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Webex Hizmetleri için Ağ Gereksinimleri tablosunda Webex Karma Hizmetler için Ek URL’ler tablosunda Karma Veri Güvenliği için listelenen diğer URL’ler
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

Common Identity (CI) ana bilgisayarlarının URL'leri bölgeye özeldir. Bunlar mevcut CI ana bilgisayarlarıdır:

Bölge	Common Identity Toplantı Sahibi URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy Sunucusu Gereksinimleri

Karma Veri Güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

Şeffaf proxy—Cisco Web Güvenlik Cihazı (WSA).

Açık proxy—Squid.

Açık proxy'ler için aşağıdaki kimlik doğrulama türü kombinasyonlarını destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulama yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile kimlik doğrulaması özeti
Şeffaf bir inceleme proxy veya HTTPS açık proxy'si için, proxy'nin kök sertifikasının bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyayı Karma Veri Güvenliği düğümlerinin güven depolarına nasıl yükleyeceğinizi söyler.
HDS düğümlerini barındıran ağ, 443 numaralı bağlantı noktasındaki giden TCP trafiğini proxy üzerinden yönlendirme yapmaya zorlamak için yapılandırılmalıdır.
Web trafiğini inceleyen proxy'ler, web soketi bağlantılarını engelleyebilir. Bu sorun oluşursa trafiği atlayarak (denetlemeden) wbx2.com ve ciscospark.com sorunu çözecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlama

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

Anahtar depolama için bir veritabanı oluştur. (Bu veritabanını oluşturmalısınız—varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.)
Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:
- ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası
- anahtar depolama için veritabanının adı (dbname)
- anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolasını

Güvenlik duvarı yapılandırmanızın Karma Veri Güvenliği düğümleriniz için Harici bağlantı gereksinimlerinde açıklandığı şekilde bağlanabilirliğe izin verdiğinden emin olun.

HDS Kurulum Aracını kurmak ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimlerinde ana hatları bulunan bağlanabilirlik olmalıdır.

Bir proxy'yi Karma Veri Güvenliğine entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği Kümesi Ayarlama

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

OVA dosyasını daha sonra kullanmak üzere yerel makinenize indirin.

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracı’nı kullanın.

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırın.

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından sanal makineyi yapılandırın.

Ağ ortamı proxy yapılandırması gerektiriyorsa düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

Küme kurulumunu tamamlayın.

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme sürümüne başlayana kadar düğümleriniz hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturur.

Yükleme Dosyalarını Indir

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil). Bu dosyayı kurulum sürecinde daha sonra kullanabilirsiniz.

https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler üzerine tıklayın.

Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve ardından Ayarla’ya tıklayın.

Düğümü henüz kurmadığınızı belirtmek için Hayır seçin ve Ileri düğmesine tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizde bir konuma kaydedin.

Isterseniz, bu kılavuzun daha sonraki bir sürümünün olup olmadığını kontrol etmek için Dağıtım Kılavuzunu Aç düğmesine tıklayın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum işlemi bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği toplantı sahibinizi yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce

HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Ona ulaşmak için, Docker'ı o makineye çalıştır. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Control Hub hesabının kimlik bilgilerini gerektirir.

Açıklama	Değişken
Kimlik doğrulaması olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulaması olmadan HTTPS Proxy'si	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy'si	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Yapılandırma değişiklikleri yaptığınızda, aşağıdaki gibi bu dosyanın en son kopyasına ihtiyacınız vardır:
- Veritabanı kimlik bilgileri
- Sertifika güncellemeleri
- Yetkilendirme politikasındaki değişiklikler
Veritabanı bağlantılarını şifrelemeyi planlıyorsanız TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, önceki HDS kurulum aracı resimlerini temizler. Önceki resimler yoksa görmezden gelebileceğiniz bir hata döndürür.

Docker görüntü kaydında oturum açmak için aşağıdakileri girin:

docker login -u hdscustomersro

Parola isteminde şu özet değerini girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmadan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS proxy'si ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy olmayan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Bir HTTP proxy ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Bir HTTPS proxy'sine sahip FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Konteyner çalışırken, "Express sunucusu 8080 bağlantı noktasını dinliyor" görürsünüz.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Control Hub için müşteri yöneticisi kullanıcı adını girin.

Araç, bu hesap için uygun ortamı ayarlamak için kullanıcı adının bu ilk girişini kullanır. Ardından araç standart oturum açma istemini görüntüler.

Kurulum Aracı genel bakış sayfasında, Başla düğmesine tıklayın.

ISO Içe Aktarma sayfasında, şu seçeneklere sahipsiniz:

Hayır—Ilk HDS düğümünüzü oluşturuyorsanız yükleyecek bir ISO dosyanız yoktur.
Evet—Daha önce HDS düğümleri oluşturduysanız gözatmada ISO dosyanızı seçip karşıya yükleyin.

X.509 sertifikanızın, X.509 Sertifika Gereksinimlerindeki gereksinimleri karşıladığını kontrol edin.

Daha önce hiç sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam düğmesine tıklayın.
Sertifikanız uygunsa Devam düğmesine tıklayın.
Sertifikanızın süresi dolmuşsa veya değiştirmek istiyorsanız önceki ISO'da HDS sertifika zincirini ve özel anahtarı kullanmaya devam etmek için Hayır'ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam düğmesine tıklayın.

Anahtar veri sayfanıza erişmek için HDS’nin veritabanı adresini ve hesabını girin:

Veritabanı Türünü (PostgreSQL ya da Microsoft SQL Server) seçin.

Microsoft SQL Server'ı seçerseniz Kimlik Doğrulama Türü alanına sahip olursunuz.
(Yalnızca Microsoft SQL Sunucusu) Kimlik Doğrulama Türünüzü seçin:
- Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesap adına ihtiyacınız vardır.
- Windows Kimlik Doğrulama: Bu formatta bir Windows hesabına ihtiyacınız var username@DOMAINKullanıcı Adı alanına girin.
Formda veritabanı sunucusu adresini girin <hostname>:<port> veya <IP-address>:<port>.

Örnek:
dbhost.example.org:1433 veya 198.51.100.17:1433

Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için IP adresi kullanabilirsiniz.

Windows kimlik doğrulaması kullanıyorsanız şu biçimde Tam Etki Alanı Adı girmeniz gerekir: dbhost.example.org:1433
Veritabanı Adını girin.
Anahtar depolama veritabanındaki tüm ayrıcalıklara sahip bir kullanıcının Username ve Password (Kullanıcı Adı) girin.

TLS Veritabanı Bağlantı Modu seçin:

Mode

Açıklama

TLS'yi tercih edin(varsayılan seçenek)

HDS düğümlerinin veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı girişiminde bulunur.

TLS Gerektir

HDS düğümleri, yalnızca veritabanı sunucusunun TLS anlaşması yapabilmesi durumunda bağlanır.

TLS isteyin ve sertifika imzalayanı doğrulayın

Bu mod, SQL Server veritabanları için geçerli değildir.

HDS düğümleri, yalnızca veritabanı sunucusunun TLS anlaşması yapabilmesi durumunda bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı bırakır.

Bu seçenek için kök sertifikasını yüklemek üzere açılır listeden Veritabanı kök sertifika kontrolünü kullanın.

TLS isteyin ve sertifika imzalayanın ve ana bilgisayar adını doğrulayın

HDS düğümleri, yalnızca veritabanı sunucusunun TLS anlaşması yapabilmesi durumunda bağlanır.
TLS bağlantısı kurduktan sonra düğüm, veritabanı sunucusundaki sertifikayı imzalayan kişiyi Veritabanı kök sertifikasındaki sertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı bırakır.
Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adların tam olarak eşleşmesi gerekir veya düğüm bağlantıyı keser.

Bu seçenek için kök sertifikasını yüklemek üzere açılır listeden Veritabanı kök sertifika kontrolünü kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam düğmesine tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, uygunsa sertifika imzalayan kişiyi ve ana bilgisayar adını da doğrular. Test başarısız olursa, araç sorunu açıklayan bir hata mesajı gösterir. Hatayı göz ardı edip kuruluma devam edip etmeyeceğinizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısını kurabilir.)

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

Sistem günlüğü sunucusu URL'sini girin.

Sunucu HDS kümenizin düğümlerinden DNS çözümlenebilir değilse URL içindeki bir IP adresi kullanın.

Örnek:
udp://10.92.43.23:514 UDP bağlantı noktası 514'te Syslogd ana bilgisayarı 10.92.43.23'te oturum açmayı gösterir.
Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız syslog sunucunuz SSL şifrelemesi için yapılandırılmış Olup olmadığını kontrol edin?.

Bu onay kutusunu işaretlerseniz, şunun gibi bir TCP URL girdiğinizden emin olun: tcp://10.92.43.23:514.
Sistem günlüğü sonlandırma açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Seç veya Yeni Satır kullanılır
- Boş bayt -- \x00
- Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçimi seçin.
Devam Et’e tıklayın.

app_datasource_connection_pool_maxSize: 10

Tıklayın, Devam Et üzerinde Hizmet Hesapları Parolasını Sıfırlama görüntüleyin.

ISO Dosyasını Indir düğmesine tıklayın. Dosyayı bulması kolay bir konuma kaydedin.

Yerel sisteminizde ISO dosyasının yedek kopyasını oluşturun.

Kurulum aracını kapatmak için şunu yazın CTRL+C.

Sonraki işlemler

Bu anahtarın bir kopyası asla yok ve onu kaybedersen yardım edemeyiz.

HDS Ana Bilgisayar OVA’sını Yükleme

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Dosya > OVF Şablonunu Dağıt'ı seçin.

Sihirbazda daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Hesaplama kaynağı seç sayfa, hedef hesaplama kaynağını seçin ve ardından mcrypt_enc_get_iv_size.

Bir doğrulama denetimi çalışır. Tamamlandıktan sonra şablon ayrıntıları görünür.

Şablon ayrıntılarını doğrulayın ve Ileri'ye tıklayın.

üzerindeki kaynak yapılandırmasını seçmeniz istenirse Windows altında kurulum sayfası, tıkla 4 IŞLEMCI ve ardından düğmesine tıklayın mcrypt_enc_get_iv_size.

Üzerindeki Depolama alanı seçin sayfası, tıkla mcrypt_enc_get_iv_size Varsayılan disk biçimini ve sanal makine depolama politikasını kabul eder.

Üzerindeki Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için giriş listesinden ağ seçeneğini seçin.

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

Ana bilgisayar adı—Düğüm için FQDN (ana bilgisayar adı ve etki alanı) veya tek sözcüklü bir ana bilgisayar adı girin.

X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Şu anda büyük/ küçük harf kullanımı desteklenmiyor.
FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

IP Adresi— Düğümün dahili arabirimi için IP adresini girin.

Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
Maske—Alt ağ maskesi adresini nokta ondalık gösterimde girin. Örneğin, 255.255.255.0.
Ağ geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası olarak hizmet veren bir ağ düğümüdür.
DNS Sunucuları—Etki alanı adlarını sayısal IP adreslerine çeviren virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

Bir kümedeki tüm düğümlere idari amaçlar için ağınızdaki istemcilerden erişilebilir olması için tüm düğümleri aynı alt ağ veya VLAN üzerindeki dağıtın.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği, ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde kullanılamayabilir.

Düğüm VM'sine sağ tıklayın ve ardından seçeneğini seçin Güç > Açma.

Karma Veri Güvenliği yazılımı, VM Ana Bilgisayarına konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme Ipuçları

Karma Veri Güvenliği VM'sini Ayarlama

1	VMware vSphere istemcisinde Karma Veri Güvenliği düğümü sanal makinenizi ve Konsol sekmesini seçin. Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmezse Enter tuşuna basın.
2	Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın: Giriş: `admin` Parola: `cisco` Sanal makinenizde ilk kez oturum açtığınız için yönetici parolasını değiştirmeniz gerekir.
3	HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını daha önce yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi halde, ana menüden Yapılandırmayı Düzenle seçeneğini seçin.
4	IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.
5	(Isteğe bağlı) Ağ politikanızla eşleşmesi için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin. X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde etki alanını ayarlamanıza gerek yoktur.
6	Değişikliklerin etkili olması için ağ yapılandırmasını kaydedin ve sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Bağlama

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

Bilgisayarınızdan ISO dosyasını yükleyin:

VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.
Yapılandırma sekmesinin Donanım listesinde Depolama düğmesine tıklayın.
Datastores listesinde, sanal makineleriniz için veri deposuna sağ tıklayın ve Veri Deposuna Gözat seçeneğine tıklayın.
Dosya Yükle simgesine ve ardından Dosya Yükle seçeneğine tıklayın.
Bilgisayarınıza ISO dosyasını indirdiğiniz konuma gidin ve Aç düğmesine tıklayın.
Yükleme/indirme işlemi uyarısını kabul etmek için Evet düğmesine tıklayın ve veri deposu iletişim kutusunu kapatın.

ISO dosyasını bağla:

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Kısıtlı düzenleme seçenekleri uyarısını kabul etmek için Tamam düğmesine tıklayın.
Tıkla CD/DVD Drive 1, bir veri deposu ISO dosyasından yükleme seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma göz atın.
Bağlandı ve Bağlandı durumunu kontrol edin.
Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

Proxy Entegrasyonu için HDS Düğümünü Yapılandırma

Başlamadan önce

Desteklenen proxy seçeneklerine genel bakış için Proxy Desteği bölümüne bakın.
Proxy Sunucusu Gereksinimleri

1	HDS düğümü kurulum URL’sini girin `https://[HDS Node IP or FQDN]/setup` web tarayıcısında düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç öğesine tıklayın.
2	Güven Deposu ve Proxy'ye gidin ve ardından bir seçenek belirleyin: Proxy Yok—Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekli değil. Şeffaf Denetlenmeyen Proxy—Düğümler belirli bir vekil sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir vekil sunucu ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekli değil. Şeffaf Denetim Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır. Karma Veri Güvenliği dağıtımında HTTPS yapılandırma değişikliği gerekli değildir, ancak HDS düğümlerinin proxy’ye güvenmeleri için kök sertifikasına ihtiyacı vardır. Proxy'lerin incelenmesi, genellikle BT tarafından hangi web sitelerinin ziyaret edilebileceği ve hangi türde içeriğe izin verilmediği politikaları uygulamak için kullanılır. Bu tür proxy, tüm trafiğinizin şifresini çözer (HTTPS bile). Açık Proxy—Açık proxy ile, istemciye (HDS düğümleri) hangi proxy sunucusunun kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği seçtikten sonra, aşağıdaki bilgileri girmelisiniz: Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres. Proxy Bağlantı Noktası—Proxy'nin ayarlanmış trafiği dinlemek için kullandığı bağlantı noktası numarası. Proxy Protokolü—http (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucu sertifikasını alır ve doğrular) seçin. Proxy sunucunuzun desteklediği seçeneklere göre bir seçenek belirleyin. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın: Yok—Başka kimlik doğrulaması gerekmez. HTTP veya HTTPS proxy'leri için kullanılabilir. Temel—Bir istek yaparken kullanıcı adı ve parola sağlamak üzere HTTP Kullanıcı Aracısı için kullanılır. Base64 kodlamasını kullanır. HTTP veya HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerine bir özet fonksiyonu uygular. Yalnızca HTTPS proxy'leri için kullanılabilir. Bu seçeneği belirlerseniz kullanıcı adını ve parolayı da girmeniz gerekir. Şeffaf inceleme proxy'si, Temel kimlik doğrulamalı HTTP açık proxy'si veya HTTPS açık proxy'si için sonraki adımları izleyin.
3	Kök Sertifikası veya Son Varlık Sertifikası Yükle’ye tıklayın ve ardından proxy için kök sertifikayı seçin. Sertifika yüklendi ancak sertifikayı yüklemek için düğümü yeniden başlatmanız gerektiğinden henüz yüklenmedi. Daha fazla ayrıntı almak için sertifika veren adına göre chevron okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil düğmesine tıklayın.
4	Düğüm ile proxy arasındaki ağ bağlantısını test etmek için Proxy Bağlantısını Kontrol Et seçeneğine tıklayın. Bağlantı testi başarısız olursa, sorunun nedenini ve nasıl düzeltebileceğinizi gösteren bir hata mesajı görürsünüz. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını görürsünüz. Bu durum birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz. Düğüm, Engellenmiş Harici DNS Çözünürlük modunda çalışır. Bunun bir hata olduğunu düşünüyorsanız bu adımları tamamlayın ve Engellenmiş Harici DNS Çözünürlük Modunu Kapat seçeneğini görün.
5	Bağlantı testi geçtikten sonra, yalnızca https olarak ayarlanan açık proxy için, bu düğümden gelen tüm 443/444 https bağlantı noktası isteklerini açık proxy aracılığıyla Yönlendir seçeneğini açık konuma getirin. Bu ayarın geçerli olması için 15 saniye gerekir.
6	Tüm Sertifikaları Güven Deposuna Yükle (HTTPS açık proxy veya şeffaf bir denetleyici proxy için görünür) veya Yeniden Başlat (HTTP açık proxy için görünür) seçeneğine tıklayın, istemi okuyun ve hazırsanız Yükle seçeneğine tıklayın. Düğüm birkaç dakika içinde yeniden başlatılır.
7	Düğüm yeniden başlatıldıktan sonra gerekirse tekrar oturum açın ve ardından bağlantı kontrollerinin yeşil durumda olduğundan emin olmak için Genel Bakış sayfasını açın. Proxy bağlantısı kontrolü yalnızca webex.com’un bir alt etki alanını test eder. Bağlantı sorunları varsa, yükleme talimatlarında listelenen bulut etki alanlarının bazılarının proxy'de engellenmesidir.

Ilk Düğümü Kümeye Kaydetme

Bu görev, Karma Veri Güvenliği sanal makinesinde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	Şurada oturum açın: https://admin.webex.com.
2	Ekranın sol tarafındaki menüden Hizmetler'i seçin.
3	Karma Hizmetler bölümünde Karma Veri Güvenliğini bulun ve Kur seçeneğine tıklayın. Karma Veri Güvenliği Düğümünü Kaydet sayfası görünür.
4	Düğümü kurduğunuzu ve kaydetmeye hazır olduğunuzu belirtmek için Evet'i seçin ve Ileri'ye tıklayın.
5	Ilk alanda, Karma Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin. Bir kümeyi, küme düğümlerinin coğrafi olarak bulunduğu yere göre adlandırmanızı öneririz. Örnekler: "San Francisco" ya da "New York" ya da "Dallas"
6	Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Bu IP adresi veya FQDN, Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanı ile eşleşmelidir. Düğümünüzü Webex’e kaydedebileceğinizi belirten bir ileti görünür.
7	Düğüme Git düğmesine tıklayın.
8	Uyarı mesajında Devam düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, Webex kuruluşunuza düğümünüze erişim izinleri vermek istediğinizi onaylıyorsunuz.
9	Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir.
10	Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirecektir.

Daha Fazla Düğüm Oluşturma ve Kaydetme

Başlamadan önce

Bir düğümün kaydına başladıktan sonra, 60 dakika içinde tamamlamanız veya yeniden başlamanız gerekir.
Tarayıcınızdaki tüm açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir özel durum izni verdiğinizden emin olun.

1	HDS Ana Bilgisayar OVA'yı Yükleme adımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.
2	Karma Veri Güvenliği Sanal Makinesini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinedeki ilk yapılandırmayı ayarlayın.
3	Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Monte Etme adımlarını tekrarlayın.
4	Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği gibi tekrarlayın.
5	Düğümü kaydedin. https://admin.webex.com içinden ekranın sol tarafındaki menüden Services (Hizmetler) satırını seçin. Karma Hizmetler bölümünde Karma Veri Güvenliği kartını bulun ve Kaynaklar seçeneğine tıklayın. Karma Veri Güvenliği Kaynakları sayfası görünür. Kaynak Ekle düğmesine tıklayın. Ilk alanda, mevcut kümenizin adını seçin. Ikinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ileri öğesine tıklayın. Düğümünüzü buluta kaydedebileceğinizi belirten bir ileti görünür. Düğüme Git düğmesine tıklayın. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası açılır. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylıyorsunuz. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam düğmesine tıklayın. Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı düğümünüzün artık Webex buluta kaydedildiğini gösterir. Control Hub Karma Veri Güvenliği sayfasına geri dönmek için bağlantıya tıklayın veya sekmeyi kapatın. Düğümünüz kaydedildi. Denemeye başlayana kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın.

Sonraki işlemler

Deneme Sürümü Çalıştırın ve Üretime Taşı (sonraki bölüm)

Deneme Sürümü Çalıştırın ve Üretime Geçin

Denemeden Üretime Görev Akışı

Başlamadan önce

ISO dosyasında passiveMode 'u yapılandırdıktan ve kaydettikten sonra, ISO dosyasının passiveMode yapılandırması olmadan başka bir kopyasını oluşturabilir ve güvenli bir konuma kaydedebilirsiniz. ISO dosyasının passiveMode yapılandırılmamış bir kopyası, olağanüstü durum kurtarma sırasında hızlı yük devretme sürecine yardımcı olabilir. Ayrıntılı yük devretme prosedürü için bkz. Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma .

1	Uygunsa, toplantı kaydını senkronize edin: `HdsTrialGroup` grup nesnesi. Kuruluşunuz kullanıcılar için dizin senkronizasyonu kullanıyorsa, `HdsTrialGroup` bir deneme başlatmadan önce buluta eşitlemek için grup nesnesini. Talimatlar için Cisco Dizin Bağlayıcı için Dağıtım Kılavuzuna bakın.
2	Deneme Sürümünü Etkinleştir Deneme başlatın. Bu görevi yapana kadar düğümleriniz hizmetin henüz etkinleştirilmediğini belirten bir alarm oluşturur.
3	Karma Veri Güvenliği Dağıtımınızı Test Etme Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığından emin olun.
4	Karma Veri Güvenliği Sağlığını Izleme Durumu kontrol edin ve alarmlar için e-posta bildirimlerini ayarlayın.
5	Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma
6	Deneme aşamasını aşağıdaki eylemlerden biriyle tamamlayın: Deneme Sürümünden Üretime Geçiş Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

Deneme Sürümünü Etkinleştir

Başlamadan önce

1	https://admin.webex.com üzerinde oturum açın ve ardından Hizmetler seçeneğini seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Denemeyi Başlat düğmesine tıklayın. Hizmet durumu deneme moduna değişir.
4	Kullanıcı Ekle'ye tıklayın ve şifreleme ve indeksleme hizmetleri için Karma Veri Güvenliği düğümlerinizi kullanarak pilot uygulama yapmak üzere bir veya daha fazla kullanıcının e-posta adresini girin. (Kuruluşunuz dizin senkronizasyonu kullanıyorsa deneme grubunu yönetmek için Active Directory’yi kullanın `HdsTrialGroup`.)

Karma Veri Güvenliği Dağıtımınızı Test Etme

Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

Karma Veri Güvenliği dağıtımınızı ayarlayın.
Deneme sürümünü etkinleştirin ve birkaç deneme kullanıcısı ekleyin.
Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

Yeni alana mesaj gönderin.

Anahtar taleplerin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

Önce KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için, kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION:

Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmıştır):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS'den mevcut bir anahtar isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION:

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aşağıdakiler gibi bir giriş bulmalısınız:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Sağlığını Izleme

1	Control Hub'da, ekranın sol tarafındaki menüden Services (Hizmetler) öğesini seçin.
2	Karma Hizmetler bölümünde Karma Veri Güvenliği’ni bulun ve Ayarlar’a tıklayın. Karma Veri Güvenliği Ayarları sayfası görüntülenir.
3	E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

Deneme Sürümünüzden Kullanıcı Ekleme veya Kaldırma

Bir deneme sürümünü etkinleştirdikten ve ilk deneme kullanıcıları grubunu ekledikten sonra, deneme etkinken istediğiniz zaman deneme üyeleri ekleyebilir veya kaldırabilirsiniz.

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu alanının Deneme Modu bölümünde, Kullanıcı Ekle öğesine tıklayın veya kullanıcıları deneme sürümünden kaldırmak için görüntüle ve düzenle'ye tıklayın.
4	Eklemek için bir veya daha fazla kullanıcının e-posta adresini girin veya kullanıcıyı deneme sürümünden çıkarmak için bir kullanıcı kimliğiyle X düğmesine tıklayın. Ardından Kaydet üzerine tıklayın.

Deneme Sürümünden Üretime Geçiş

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Hizmet Durumu bölümünde Üretime Taşı düğmesine tıklayın.
4	Tüm kullanıcılarınızı üretime taşımak istediğinizi onaylayın.

Üretime Geçmeden Deneme Sürümünüzü Sonlandırın

1	Control Hub'da oturum açın ve Hizmetler'i seçin.
2	Karma Veri Güvenliği altında Ayarlar düğmesine tıklayın.
3	Deactivate kısmında Deactivate düğmesine tıklayın.
4	Hizmeti devre dışı bırakmak ve deneme sürümünü sonlandırmak istediğinizi onaylayın.

HDS Dağıtımınızı Yönetme

HDS Dağıtımını Yönetme

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planı Ayarla

Yükseltme planını ayarlamak için:

1	Control Hub’da Oturum Açın.
2	Genel Bakış sayfasında, Karma Hizmetler altında Karma Veri Güvenliği öğesini seçin.
3	Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.
4	Sağdaki Genel Bakış panelinde, Küme Ayarları altında, küme adını seçin.
5	Ayarlar sayfasında, Yükseltme bölümünün altında, yükseltme planı için saat ve saat dilimini seçin. Not: Saat diliminin altında, bir sonraki uygun yükseltme tarihi ve saati görüntülenir. Ertele öğesine tıklayarak, yükseltmeyi gerekirse bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen aşağıdakiler gibi bir nedenle Karma Veri Güvenliği düğümünüzün yapılandırmasını değiştirmeniz gerekebilir:

Geçerlilik süresi veya diğer nedenlerden dolayı x.509 sertifikalarının değiştirilmesi.

Bir sertifikanın CN etki alanı adının değiştirilmesini desteklemiyoruz. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmelidir.

PostgreSQL veya Microsoft SQL Server veritabanının bir kopyasına geçmek için veritabanı ayarlarını güncellemek.

Verilerin PostgreSQL’den Microsoft SQL Server’a geçirilmesini veya tam tersi şekilde desteklemiyoruz. Veritabanı ortamını değiştirmek için yeni Karma Veri Güvenliği dağıtımını başlatın.

Yeni bir veri merkezi hazırlamak için yeni bir yapılandırma oluşturuluyor.

Ayrıca, güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. HDS Kurulum aracı bu parolaları oluşturduktan sonra, bunları ISO yapılandırma dosyasındaki HDS düğümlerinizin her birine dağıtırsınız. Kuruluşunuzun parolalarının geçerlilik süresi sona ermeye yaklaştığında, Webex ekibinden makine hesabınızın parolasını sıfırlama bildirimi alırsınız. (E-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" metni içerir.) Parolalarınızın süresi henüz dolmadıysa araç size iki seçenek sunar:

Yazılım sıfırlaması—Her ikisi de eski ve yeni parolalar 10 güne kadar çalışır. Düğümlerdeki ISO dosyasını kademeli olarak değiştirmek için bu süreyi kullanın.
Sabit sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızın süresi sıfırlanmadan geçerse HDS hizmetinizi etkiler ve tüm düğümlerdeki ISO dosyasının anında sabit bir sıfırlama ve değiştirilmesini gerektirir.

Yeni bir yapılandırma ISO dosyası oluşturmak ve bunu kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

Açıklama	Değişken
Kimlik doğrulaması olmadan HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulaması olmadan HTTPS Proxy'si	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Kimlik doğrulamalı HTTP Proxy	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Kimlik doğrulamalı HTTPS Proxy'si	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtar içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetkilendirme politikasındaki değişiklikler dahil olmak üzere yapılandırma değişiklikleri yaparken ISO'ya ihtiyacınız vardır.

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

Makinenizin komut satırına ortamınız için uygun komutu girin:
Normal ortamlarda:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP ortamlarında:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Bu adım, önceki HDS kurulum aracı resimlerini temizler. Önceki resimler yoksa görmezden gelebileceğiniz bir hata döndürür.
Docker görüntü kaydında oturum açmak için aşağıdakileri girin:
```
docker login -u hdscustomersro
```
Parola isteminde şu özet değerini girin:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Ortamınız için en son kararlı görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable

Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018’den önce oluşturulan sürümlerinde parola sıfırlama ekranı yoktur.

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

Proxy olmadan normal ortamlarda:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP proxy'si olan normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPSproxy ile normal ortamlarda:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Proxy olmayan FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Bir HTTP proxy ile FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Bir HTTPS proxy'sine sahip FedRAMP ortamlarında:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Konteyner çalışırken, "Express sunucusu 8080 bağlantı noktasını dinliyor" görürsünüz.

Yerel toplantı sahibine bağlanmak için tarayıcı kullanın, http://127.0.0.1:8080.

Kurulum aracı, http://localhost:8080 üzerinden localhost'a bağlanmayı desteklemez. Yerel makineye bağlanmak için http://127.0.0.1:8080 kullanın.

Istendiğinde, Control Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et düğmesine tıklayın.
Mevcut yapılandırma ISO dosyasını içe aktarın.
Aracı tamamlamak için istemleri takip edin ve güncellenen dosyayı indirin.

Kurulum aracını kapatmak için şunu yazın CTRL+C.
Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

HDS ana bilgisayar OVA dosyasını yükleyin.
HDS VM kurulumunu yapın.
Güncellenmiş yapılandırma dosyasını yükleyin.
Yeni düğümü Control Hub'a kaydedin.

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bağlayın. Her düğümde sırayla aşağıdaki prosedürü gerçekleştirin ve sonraki düğümü kapatmadan önce her düğümü güncelleyin:

Sanal makineyi kapatın.
VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.
Tıkla CD/DVD Drive 1, bir ISO dosyasından yükleme seçeneğini belirleyin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma gidin.
Çalıştırma sırasında bağlan seçeneğini seçin.
Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenen Harici DNS Çözünürlük Modunu Kapat

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözebiliyorsa, her düğümdeki proxy bağlantısı testini yeniden başlatarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözdüğünden ve düğümlerinizin bunlarla iletişim kurabildiğinden emin olun.

1	Bir web tarayıcısında, Karma Veri Güvenliği düğümü arabirimini açın (örneğin, IP adresi/kurulumu, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.
2	Genel Bakış'a gidin (varsayılan sayfa). Etkinleştirildiğinde, Engellenen Harici DNS ÇözünürlüğüEvet olarak ayarlanır.
3	Güven Deposu & Proxy sayfasına gidin.
4	Proxy Bağlantısını Kontrol Et’e tıklayın. Harici DNS çözünürlüğünün başarısız olduğunu belirten bir mesaj görürseniz, düğümün DNS sunucusuna ulaşamadığını ve bu modda kalacağını söyler. Aksi takdirde, düğümü yeniden başlattıktan ve Genel Bakış sayfasına geri döndükten sonra, Engellenen Harici DNS Çözünürlüğü hayır olarak ayarlanmalıdır.

Sonraki işlemler

Karma Veri Güvenliği kümenizdeki her bir düğümde proxy bağlantısı testini tekrarlayın.

Düğümü Kaldırma

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızdaki VMware vSphere istemcisini kullanın.

Düğümü kaldır:

Control Hub'da oturum açın ve Hizmetler'i seçin.
Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle seçeneğine tıklayın.
Kümenizi Genel Bakış panelini görüntülemek için seçin.
Düğüm listesini aç düğmesine tıklayın.
Düğümler sekmesinde, kaldırmak istediğiniz düğümü seçin.
düğmesine tıklayın Eylemler > Kaydı sil düğümü.

vSphere istemcisinde, VM'yi silin. (Sol navigasyon bölmesinde, VM'ye sağ tıklayın ve Sil'i tıklayın.)

VM'yi silmezseniz yapılandırma ISO dosyasını ayırmayı unutmayın. ISO dosyası olmadan güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezi kullanarak Olağanüstü Durum Kurtarma

Bir felaket birincil veri merkezindeki HDS dağıtımının kullanılamaz hale gelmesine neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü uygulayın.

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma'da bahsedilen adımları izleyin.

Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın


passiveMode: 'false'

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulması kolay bir konuma kaydedin.

VMware vSphere istemcisinin sol navigasyon bölmesinde VM'ye sağ tıklayın ve Ayarları Düzenle'ye tıklayın.

Ayarları Düzenle >CD/DVD Sürücü 1 öğesine tıklayın ve Datastore ISO Dosyası'nı seçin.

Güncellenmiş yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkinleşmesi için Bağlandı ve Bağlandı seçeneğinin kontrol edildiğinden emin olun.

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Ayırma

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1	HDS düğümlerinizden birini kapatın.
2	vCenter Sunucu Aygıtında HDS düğümünü seçin.
3	seçin Ayarları > CD/DVD sürücüsünü düzenleyin ve Datastore ISO Dosyasının işaretini kaldırın.
4	HDS düğümünü açın ve en az 20 dakika boyunca alarm olmadığından emin olun.
5	Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları ve Sorun Gidermeyi Görüntüleme

Yeni alanlar oluşturulamaz (yeni anahtarlar oluşturulamaz)
Mesajlar ve alan başlıkları, şunlar için şifre çözülemedi:
- Alana yeni kullanıcılar eklendi (anahtarlar alınamıyor)
- Yeni istemci kullanan bir alandaki mevcut kullanıcılar (anahtarlar alınamıyor)
Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarıyla çalışmaya devam edecektir.

Hizmetin kesilmesini önlemek için Karma Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve tüm uyarıları derhal ele almanız önemlidir.

Uyarılar

Tablo 1. Ortak Sorunlar ve Bunları Çözme Adımları
Uyarı	İşlem
Yerel veritabanı erişim hatası.	Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.
Yerel veritabanı bağlantısı hatası.	Veritabanı sunucusunun kullanılabilir olduğundan ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığından emin olun.
Bulut hizmeti erişim hatası.	Düğümlerin Harici bağlantı gereksinimlerinde belirtildiği gibi Webex sunucularına erişebildiğinden emin olun.
Bulut hizmeti kaydı yenileniyor.	Bulut hizmetlerine kayıt kesildi. Kayıt yenileme işlemi devam ediyor.
Bulut hizmeti kaydı kesildi.	Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapanıyor.
Hizmet henüz etkinleştirilmedi.	Deneme sürümünü etkinleştirin veya deneme sürümünü üretime taşımayı tamamlayın.
Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.	Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun. En olası neden, sertifika CN'sinin yakın zamanda değiştirilmesi ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.
Bulut hizmetlerinde kimlik doğrulaması yapılamadı.	Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası sona erme durumunu kontrol edin.
Yerel Keystore dosyası açılamadı.	Yerel keystore dosyasında bütünlük ve parola doğruluğunu kontrol edin.
Yerel sunucu sertifikası geçersiz.	Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından verildiğini doğrulayın.
Ölçümler gönderilemiyor.	Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.
/media/configdrive/hds dizini mevcut değil.	Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatmaya bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.

1	Herhangi bir uyarı için Control Hub'ı inceleyin ve orada bulduğunuz herhangi bir öğeyi düzeltin.
2	Karma Veri Güvenliği dağıtımındaki etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin.
3	Cisco destek ekibiyle iletişime geçin.

Diğer Notlar

Karma Veri Güvenliğiyle Ilgili Bilinen Sorunlar

Karma Veri Güvenliği kümenizi (Control Hub’da silerek veya tüm düğümleri kapatarak) kapatırsanız yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz Webex Uygulaması kullanıcılarınız artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Bu hem deneme hem de üretim dağıtımları için geçerlidir. Şu anda bu sorun için bir geçici çözüm veya düzeltme mevcut değildir ve etkin kullanıcı hesaplarını işledikten sonra HDS hizmetlerinizi kapatmamanızı öneririz.
Bir KMS ile mevcut bir ECDH bağlantısına sahip olan istemci, bu bağlantıyı bir süre (muhtemelen bir saat) korur. Bir kullanıcı Karma Veri Güvenliği denemesine üye olduğunda, kullanıcının istemcisi mevcut ECDH bağlantısını zaman aşımına uğrayana kadar kullanmaya devam eder. Alternatif olarak, kullanıcı şifreleme anahtarları için başvurduğu konumu güncellemek için Webex Uygulaması uygulamasında oturumu kapatıp tekrar açabilir.

Aynı davranış, bir denemeyi kuruluş için üretime taşıdığınızda da meydana gelir. Önceki veri güvenliği hizmetlerine mevcut ECDH bağlantılarına sahip deneme sürümü olmayan tüm kullanıcılar, ECDH bağlantısı yeniden görüşülene kadar (zaman aşımı veya oturumu kapatıp tekrar oturum açarak) bu hizmetleri kullanmaya devam edecektir.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yükleme için uygun biçimde yapmak için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları vardır ve biz bir şekilde diğerini desteklemez veya desteklemeyiz.
OpenSSL kullanmayı seçerseniz, X.509 Sertifika Gereksinimlerindeki X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olması için bu prosedürü bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.
OpenSSL' i desteklenen bir ortamda yükleyin. Yazılım ve belgeler için https://www.openssl.org bölümüne bakın.
Özel anahtar oluştur.
Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1	Sertifika yetkilinizden sunucu sertifikasını aldığınızda farklı kaydedin `hdsnode.pem`.
2	Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın. `openssl x509 -text -noout -in hdsnode.pem`
3	Adlandırılan bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın `hdsnode-bundle.pem`. Paket dosyası sunucu sertifikasını, herhangi bir ara CA sertifikasını ve kök CA sertifikalarını aşağıdaki formatta içermelidir: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	.p12 dosyasını uygun adla oluşturun `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sunucu sertifikası ayrıntılarını kontrol edin. `openssl pkcs12 -in hdsnode.p12` Özel anahtarı şifrelemek için istemde, çıktıda listelenecek şekilde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın satırları içerdiğini doğrulayın `friendlyName: kms-private-key`. Örnek: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Sonraki işlemler

Orijinal sertifikanın süresi dolduğunda bu dosyaları yeniden kullanarak yeni bir sertifika isteyebilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrikler Toplama Trafiği

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex bulutundan aşağıdaki türde gelen trafik alır:

Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri
Düğüm yazılımına yükseltme

Karma Veri Güvenliği için Squid Proxy’lerini Yapılandırma

Websocket, Squid Proxy Ile Bağlanamıyor

Mürekkep balığı 4 ve 5

Dosyayı on_unsupported_protocol yönergesi squid.conf:

on_unsupported_protocol tunnel all

Mürekkep balığı 3.5.27

Karma Veri Güvenliğini aşağıdaki kurallarla başarıyla test ettik squid.conf. Biz özellikler geliştirip Webex bulutunu güncelledikçe bu kurallar değiştirilebilir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Önsöz

Yeni ve değiştirilmiş bilgiler

Tarih	Yapılan Değişiklikler
20 Ekim 2023 Salı	Veritabanı sunucusu gereksinimleri bölümünde bilgiler güncellendi. Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu eklendi. Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi ve Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma bölümlerinde güncellenen bilgiler.
07 Ağustos 2023	Yükleme Dosyalarını Indir’e bir not eklendi. HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme’ye bir not eklendi.
23 Mayıs 2023	Veritabanı sunucusu gereksinimleri bölümünden hesap ekibiyle iletişime geçerek bir özelliğin etkinleştirilmesini isteyen bilgiler silindi. Harici bağlantı gereksinimleri bölümünde bilgiler güncellendi ve Kanada’yı CI toplantı sahipleri tablosuna ekledi. Anahtarları buluta geri taşıma mekanizmalarının kullanılamamasıyla ilgili olarak Karma Veri Güvenliğini Kullanıma Alma Beklentileri ’ne bir not eklendi.
06 Aralık 2022	HDS Kurulum Aracı görüntüleri artık `ciscocitg` dockerhub deposunda barındırılır. HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme konuları, komutlardaki değişiklikleri yeniden yapılandırmak için güncellendi.
23 Kasım 2022	HDS düğümleri artık Microsoft SQL Server'a karşı Windows kimlik doğrulamasını kullanabilir. Veritabanı sunucusu gereksinimleri konusu, bu kimlik doğrulama modu için ek gerekliliklerle güncellendi. Düğümlerde Windows kimlik doğrulamasını yapılandırma prosedürüyle HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturma güncellendi. Veritabanı sunucusu gereksinimleri konusu yeni minimum gerekli sürümlerle (PostgreSQL 10) güncellendi.
13 Ekim 2021	HDS düğümlerini yükleyebilmeniz için Docker Desktop'ın bir kurulum programı çalıştırması gerekir. Bkz. Docker Masaüstü Gereksinimleri.
24 Haziran 2021 Cuma	Başka bir sertifika istemek için özel anahtar dosyasını ve CSR'yi yeniden kullanabileceğinize dikkat edin. Ayrıntılar için bkz. PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma .
30 Nisan 2021	Yerel sabit disk alanı için sanal makine gereksinimi 30 GB olarak değiştirildi. Ayrıntılar için bkz. Sanal Toplantı Sahibi Gereksinimleri .
24 Şubat 2021	HDS Kurulum Aracı artık bir proxy arkasında çalışabilir. Ayrıntılar için bkz. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma .
2 Şubat 2021	HDS artık takılı bir ISO dosyası olmadan çalışabilir. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .
11 Ocak 2021	HDS Toplantı Sahipleri için Yapılandırma ISO Oluşturma için HDS Kurulum aracı ve proxy'ler hakkında bilgi eklendi.
13 Ekim 2020	Yükleme Dosyalarını Indir güncellendi.
08 Ekim 2020	HDS Ana Bilgisayarları için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme FedRAMP ortamları için komutlarla güncellendi.
14 Ağustos 2020	HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma ve Düğüm Yapılandırmasını Değiştirme , oturum açma sürecindeki değişikliklerle güncellendi.
05 Ağustos 2020	Günlük mesajlarındaki değişiklikler için Karma Veri Güvenliği Dağıtımınızı Test Edin güncellendi. Maksimum toplantı sahibi sayısını kaldırmak için Sanal Toplantı Sahibi Gereksinimleri güncellendi.
16 Haziran 2020	Control Hub Kullanıcı Arabirimindeki değişiklikler için Düğüm Kaldırma güncellendi.
04 Haziran 2020	Ayarlayabileceğiniz Gelişmiş Ayarlarda değişiklikler için HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturma güncellendi.
29 Mayıs 2020	SQL Server veritabanları, kullanıcı arayüzü değişiklikleri ve diğer açıklamalarla da TLS kullanabileceğinizi göstermek için HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturma güncellendi.
05 Mayıs 2020	Sanal Toplantı Sahibi Gereksinimleri , yeni ESXi 6.5 gereksinimini gösterecek şekilde güncellendi.
21 Nisan 2020	Yeni Amerika CI toplantı sahipleriyle Harici bağlantı gereksinimleri güncellendi.
1 Nisan 2020	Bölgesel CI toplantı sahipleri hakkında bilgiler içeren Harici bağlantı gereksinimleri güncellendi.
20 Şubat 2020	HDS Kurulum Aracındaki yeni isteğe bağlı Gelişmiş Ayarlar ekranı hakkında bilgi içeren HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturma güncellendi.
4 Şubat 2020	Proxy Sunucusu Gereksinimleri güncellendi.
16 Aralık 2019	Engellenen Harici DNS Çözünürlük Modunun Proxy Sunucusu Gereksinimleri’nde çalışması gerekliliği netleştirildi.
19 Kasım 2019	Aşağıdaki bölümlerde Engellenen Harici DNS Çözünürlük Modu ile ilgili bilgiler eklendi: Proxy Desteği Proxy entegrasyonu için HDS düğümünü yapılandırın Engellenmiş harici DNS çözünürlük modunu kapat
8 Kasım 2019	Artık OVA’yı dağıtırken daha sonra yerine bir düğüm için ağ ayarlarını yapılandırabilirsiniz. Aşağıdaki bölümler buna göre güncellendi: Karma Veri Güvenliği Dağıtım Görev Akışı HDS Ana Bilgisayar OVA'sını Yükleme Karma Veri Güvenliği VM’sini ayarlayın OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.
10 Eylül 2015 Tarihinde	Veritabanı sunucusu gereksinimleri’ne SQL Server Standard eklendi.
29 Ağustos 2019	Squid proxy'lerini doğru çalışma amacıyla web soketi trafiğini yok sayacak şekilde yapılandırmayla ilgili yönergelere sahip Squid Proxy'leri Yapılandırma eklentisi eklendi.
20 Ağustos 2019	Webex buluta Karma Veri Güvenliği düğümü iletişimleri için proxy desteğini kapsayacak bölümler eklendi ve güncellendi. Proxy desteği Proxy sunucusu gereksinimleri Proxy entegrasyonu için HDS düğümünü yapılandırın Yalnızca mevcut bir dağıtıma yönelik proxy destek içeriğine erişmek için Karma Veri Güvenliği ve Webex Video Ağ Yapısı Için Proxy Desteği yardım makalesine bakın.
13 Haziran 2019	Kuruluşunuz dizin senkronizasyonu kullanıyorsa bir deneme başlatmadan önce HdsTrialGroup grup nesnesini eşitlemek için bir hatırlatıcı ile `Deneme Üretim Görev Akışı` güncellendi.
6 Mart 2019	Gereksinimler ve ön koşullar ayrı bir bölüme taşındı, Ortamınızı Hazırlama. Karma Veri Güvenliği Kümesi Ayarla bölümünde Karma Veri Güvenliği Dağıtım Görev Akışına genel bakış eklendi. Bir deneme sürümüne (sonraki bölümdeki talimatları kullanarak) kadar düğümlerinizin hizmetinizin henüz etkinleştirilmediğini belirten bir alarm oluşturduğunu unutmayın. Deneme Çalıştır ve Üretime Taşı bölümünde Deneme Sürümü Üretim Görev Akışı eklendi.
28 Şubat 2019 Cuma	Karma Veri Güvenliği düğümleri haline gelen sanal toplantı sahiplerini (50 GB ila 20 GB) hazırlarken, OVA'nın oluşturduğu diskin boyutunu yansıtmak için, sunucu başına ayarlamanız gereken yerel sabit disk alanı miktarı düzeltildi.
26 Şubat 2019	Karma Veri Güvenliği düğümleri artık PostgreSQL veritabanı sunucularıyla şifreli bağlantıları ve TLS özellikli bir sistem günlüğü sunucusuna şifreli günlük bağlantılarını desteklemektedir. HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturma talimatlarıyla güncellendi. “Karma Veri Güvenliği Düğümü VM’leri için Internet Bağlantı Gereksinimleri” tablosundan hedef URL’ler kaldırıldı. Tablo artık Webex Teams Hizmetleri için Ağ Gereksinimleri'nin "Webex Teams Karma Hizmetleri için Ek URL'ler" tablosunda yer alan listeyi ifade etmektedir.
24 Ocak 2019	Karma Veri Güvenliği artık bir veritabanı olarak Microsoft SQL Server’ı desteklemektedir. SQL Sunucusu Her Zaman Açık (Her Zaman Açık Yük Devretme Kümeleri ve Her Zaman Açık Kullanılabilirlik Grupları), Karma Veri Güvenliğinde kullanılan JDBC sürücüleri tarafından desteklenir. SQL Server ile dağıtımla ilgili içerik eklendi. Microsoft SQL Server desteği, yalnızca yeni Karma Veri Güvenliği dağıtımları için tasarlandı. Mevcut bir dağıtımda verilerin PostgreSQL’den Microsoft SQL Server’a geçirilmesini şu anda desteklemiyoruz.
5 Kasım 2018	HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerine mevcut tüm docker hds örneklerini temizlemek için bir ön adım eklendi. HDS Toplantı Sahipleri için Yapılandırma ISO'su Oluşturma öğesindeki anahtar erişim düzeyi adımı, arayüzle eşleştirildi.
19 Ekim 2018	Güvenlik duvarı bağlantı bilgilerini, Karma Veri Güvenliği Için Ön Koşulları Tamamla bölümünde düğüm gereksinimlerine ve ISO yapılandırma makinesi gereksinimlerine bölün.
31 Temmuz 2018	Karma Veri Güvenliği Ön Koşullarını Tamamlama için bağlantı noktası 22 (SSH erişimi) ve NAT ve güvenlik duvarı bağlantıları hakkında bilgiler eklendi.
21 Mayıs 2018	Cisco Spark’ın yeniden markalamasını yansıtacak şekilde değiştirilen terminoloji: Cisco Spark Karma Veri Güvenliği, artık Karma Veri Güvenliği olarak değiştirilmiştir. Cisco Spark uygulaması, artık Webex Uygulaması oldu. Cisco Iş Birliği Bulutu, artık Webex bulutu oldu.
11 Nisan 2018	Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi eklendi. Yedekleme ortamının farklı bir veri merkezinde olması gerektiğini belirtmek için Karma Veri Güvenliği Ön Koşullarını Tamamlayın . Bekleme Veri Merkezi kullanılarak Olağanüstü Durum Kurtarma güncellendi.
22 Şubat 2018	Hizmet hesabı parolası 9 aylık kullanım ömrü ve hizmet hesabı parolalarını sıfırlamak için HDS Kurulum aracının kullanılması ile ilgili bilgiler HDS Toplantı Sahipleri için Yapılandırma ISO Oluşturma ve Düğüm Yapılandırmasını Değiştirme bölümlerinde eklendi.
15 Şubat 2018	X.509 Sertifika Gereksinimleri tablosunda, sertifikanın bir joker sertifika olamayacağını ve KMS'nin x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı olmadığını CN etki alanını kullandığını belirtmiştir.
18 Ocak 2018	Ek, HDS Düğümleri ile Bulut arasındaki trafik eklendi. Karma Veri Güvenliği için Bilinen Sorunlar’dan çözülmüş bir sorun kaldırıldı. index.docker.io, .docker.io olarak değiştirildi ve Karma Veri Güvenliği Için Ön Koşulları Tamamla bölümünde HDS düğümleri için TCP bağlantı gereksinimleri listesine .cloudfront.net eklendi. HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun , veritabanı ana bilgisayarının ve Syslogd sunucusunun HDS düğümlerinden DNS ile çözümlenebilir olmaması durumunda bunları IP adreslerini kullanarak yapılandırmanız gerektiğini belirtmek üzere güncellendi.
2 Kasım 2017	HdsTrialGroup’un basitleştirilmiş dizin senkronizasyonu. VM düğümlerine montaj için ISO yapılandırma dosyasını yükleme talimatları düzeltildi.
18 Ağustos 2017	Ilk yayımlanma

Karma Veri Güvenliği ile Başlangıç

Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

***Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)***

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.
Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.
Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.
Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli müşteri taahhüdünü ve şifreleme anahtarlarına sahip olma risklerinin farkında olmayı gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Cisco Webex Teams planları için desteklenen bir konum olan ülkedeki güvenli bir veri merkezi.
bölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.
Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst Düzey Kurulum Süreci

Bu belgede, Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

Karma Veri Güvenliğini Ayarlama: Bu, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımını yükleme, deneme modundaki bir kullanıcı alt kümesiyle dağıtımınızı test etme ve testiniz tamamlandıktan sonra üretime geçmeyi içerir. Bu, kuruluşun tamamını güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanacak şekilde dönüştürür.
Kurulum, deneme ve üretim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınmaktadır.
Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Control Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.
Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Control Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Kuruluş başına yalnızca tek bir kümeyi destekliyoruz.

Karma Veri Güvenliği Deneme Modu

Bir Karma Veri Güvenliği dağıtımı ayarladıktan sonra, önce bir dizi pilot kullanıcıyla denemelisiniz. Deneme süresi boyunca, bu kullanıcılar şifreleme anahtarları ve diğer güvenlik bölgesi hizmetleri için şirket içi Karma Veri Güvenliği etki alanınızı kullanır. Diğer kullanıcılarınız bulut güvenliği bölgesini kullanmaya devam eder.

Deneme sırasında kuruluma devam etmemeye ve hizmeti devre dışı bırakmaya karar verirseniz pilot kullanıcılar ve deneme süresi boyunca yeni alanlar oluşturarak etkileşime girdikleri tüm kullanıcılar mesajlara ve içeriklere erişimi kaybeder. Webex Uygulamasında “Bu mesajın şifresi çözülemiyor” ifadesini görürler.

Dağıtımınızın deneme kullanıcıları için iyi çalıştığından memnunsanız ve Karma Veri Güvenliğini tüm kullanıcılarınıza genişletmeye hazırsanız dağıtımı üretime taşırsınız. Pilot kullanıcılar, deneme sırasında kullanımda olan anahtarlara erişmeye devam eder. Bununla birlikte, üretim modu ile orijinal deneme arasında geri ve ileri gidemezsiniz. Olağanüstü durum kurtarma gibi hizmeti devre dışı bırakmanız gerekiyorsa yeniden etkinleştirdiğinizde, üretim moduna geri dönmeden önce yeni bir deneme sürümü başlatmanız ve yeni deneme için pilot kullanıcı kümesini ayarlamanız gerekir. Kullanıcıların bu noktada verilere erişimini korumaları, kümenizdeki Karma Veri Güvenliği düğümleri için anahtar veri deposunun ve ISO yapılandırma dosyasının yedeklemelerini başarıyla sürdürdüğünüze bağlıdır.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır. — ***Bekleme Veri Merkezine Manuel Yük Devretme***

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir. Bekleme veri merkezinin ISO dosyası, düğümlerin kuruluşa kayıtlı olmasını sağlayan ancak trafiği işlemeyen ek yapılandırmalarla güncellenir. Bu nedenle, bekleme veri merkezi düğümleri her zaman HDS yazılımının en son sürümüyle güncel kalır.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi Kurulumu

Bekleme veri merkezinin ISO dosyasını yapılandırmak için aşağıdaki adımları izleyin:

Başlamadan önce

Bekleme veri merkezi, sanal makinelerin üretim ortamını ve yedek PostgreSQL veya Microsoft SQL Server veritabanını yansıtmalıdır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır. (Bu yük devretme modeline genel bakış için bkz. Olağanüstü Durum Kurtarma için Bekleme Veri Merkezi .)
Etkin ve pasif küme düğümlerinin veritabanı arasında veritabanı senkronizasyonunun etkinleştirildiğinden emin olun.

1	HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin. ISO dosyası, aşağıdaki yapılandırma güncellemelerinin yapılacağı birincil veri merkezinin orijinal ISO dosyasının bir kopyası olmalıdır.
2	Syslogd sunucusunu yapılandırdıktan sonra Gelişmiş Ayarlar’a tıklayın
3	Gelişmiş Ayarlar sayfasında, düğümü pasif moda yerleştirmek için aşağıdaki yapılandırmayı ekleyin. Bu modda düğüm, kuruluşa kaydedilir ve buluta bağlanır ancak herhangi bir trafiği işlemez. `pasifMod: 'doğru'`
4	Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.
5	Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.
6	VMware vSphere istemcisinin sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Ayarları Düzenle’ye tıklayın.
7	Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin. Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.
8	HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.
9	Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın. Düğümlerin pasif modda olduğunu doğrulamak için sistem günlüklerini kontrol edin. Sistem günlüklerinde “KMS pasif modda yapılandırıldı” mesajını görüntüleyebilmeniz gerekir.

Sonraki işlemler

Proxy desteği

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.
Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:
1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.
2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.
3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:
  - HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.
  - HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.
4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:
  - Yok—Başka bir kimlik doğrulama gerekmez.
    
    Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.
  - Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.
    
    Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.
    
    Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.
  - Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.
    
    Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.
    
    Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Ortamınızı Hazırlama

Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Karma Veri Güvenliğini dağıtmak için:

Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi yüklemeden önce bir kurulum programı çalıştırmak için Docker Desktop'a ihtiyacınız vardır. Docker yakın zamanda lisanslama modelini güncelledi. Organizasyonsanız Docker Masaüstü için ücretli bir abonelik gerekli olabilir. Ayrıntılar için " Docker Ürün Aboneliklerimizi Güncelleniyor ve Uzatıyor" docker blog gönderisini okuyun.

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri
Zorunluluk	Ayrıntılar
Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı	Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.
Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır Joker karakter sertifikası değil	CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, `hds.company.com`. CN, bir * (joker karakter) içermemelidir. CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar. Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz. Hem deneme hem de üretim dağıtımlarına uygulanabilecek bir etki alanı seçin.
SHA1 olmayan imza	KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.
Parola korumalı PKCS #12 dosyası olarak biçimlendirildi Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için `kms-private-key` kolay adını kullanın.	Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz. HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)
VMware ESXi 6.5 (veya sonraki sürümleri) yüklendi ve çalışıyor.

ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.
Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri
posix_times	SQL Sunucusu
PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.	SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi. SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.
Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)	Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.
HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.
HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.
HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama	Protokol	Bağlantı Noktası	Uygulamadan Yön	Hedef
Karma Veri Güvenliği düğümleri	TCP	443	Giden HTTPS ve WSS	Webex sunucuları: .wbx2.com .ciscospark.com Tüm Common Identity toplantı sahipleri Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda
HDS Kurulum Aracı	TCP	443	Giden HTTPS	*.wbx2.com Tüm Common Identity toplantı sahipleri hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge	Ortak Kimlik Ana Bilgisayar URL'leri
Kuzey ve Güney Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Avrupa Birliği	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy sunucusu gereksinimleri

Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.
- Saydam proxy — Cisco web güvenliği uygulaması (WSA).
- Açık proxy — SQUID.
  
  HTTPS trafiğini inceleyen squid proxy'leri, web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu sorunu gidermek için bkz. Karma Veri Güvenliği Için Squid Proxy’lerini Yapılandırma.
Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:
- HTTP veya HTTPS ile kimlik doğrulaması yok
- HTTP veya HTTPS ile temel kimlik doğrulama
- Yalnızca HTTPS ile Özet kimlik doğrulaması
Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.
HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.
Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.

1	Webex kuruluşunuzun, Cisco Webex Control Hub Için Pro Pack için etkinleştirildiğinden emin olun ve tam kuruluş yöneticisi haklarına sahip bir hesabın kimlik bilgilerini edinin. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.
2	HDS dağıtımınız için bir etki alanı adı seçin (örneğin, `hds.company.com`) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.
3	Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.
4	Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.) Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın: ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası anahtar depolama için veritabanının adı (dbname) anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası
5	Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.
6	Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).
7	Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir. Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır. Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.
8	Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.
9	https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin. Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Kuruluşunuzun Docker Desktop lisansına ihtiyacı olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri . HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.
10	Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.
11	Kuruluşunuz dizin senkronizasyonu kullanıyorsa Active Directory’de `HdsTrialGroup` adlı bir grup oluşturun ve pilot kullanıcılar ekleyin. Deneme grubunda en fazla 250 kullanıcı bulunabilir. Kuruluşunuz için bir deneme sürümü başlatmadan önce `HdsTrialGroup` nesnesi buluta eşitlenmelidir. Bir grup nesnesini senkronize etmek için Dizin Bağlayıcı'nın Yapılandırma > Nesne Seçimi menüsünden seçin. (Ayrıntılı talimatlar için bkz. Cisco Dizin Bağlayıcı için Dağıtım Kılavuzu.) Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Pilot kullanıcıları seçerken, Karma Veri Güvenliği dağıtımını kalıcı olarak devre dışı bırakmaya karar verirseniz tüm kullanıcıların pilot kullanıcılar tarafından oluşturulan alanlardaki içeriğe erişimini kaybettiğini unutmayın. Kayıp, kullanıcıların uygulamaları içeriğin önbelleğe alınmış kopyalarını yenilemez görünür hale gelir.

Karma Veri Güvenliği Kümesi Kur

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce